documentation.suse.com / SUSE Linux Enterprise Desktopドキュメント / 管理ガイド / 共通のタスク / YaSTによるユーザの管理
適用項目 SUSE Linux Enterprise Desktop 15 SP6

6 YaSTによるユーザの管理

 

インストール時にシステム用のローカルユーザを作成できました。YaSTのユーザとグループの管理モジュールを使用して、ユーザの追加や既存ユーザの編集が可能です。また、ネットワークサーバでユーザを認証するようにシステムを設定できます。

6.1 [ユーザとグループの管理]ダイアログ

 

ユーザまたはグループを管理するには、YaSTを起動し、セキュリティとユーザ › ユーザとグループの管理の順にクリックします。また、コマンドラインからsudo yast2 users &を実行することにより、ユーザとグループの管理ダイアログを直接起動します。

YaSTのユーザとグループの管理
図 6.1: YaSTのユーザとグループの管理
 

各ユーザには、システム全体で使用できるユーザID (UID)が割り当てられます。マシンにログインできるユーザ以外にも、内部での使用のみが目的のさまざまな「システムユーザ」が存在します。各ユーザは、1つ以上のグループに割り当てられます。システムユーザと同様に、内部用途のシステムグループも存在します。

メインウィンドウには、表示および変更するために選択するユーザのセット(ローカルユーザ、ネットワークユーザ、システムユーザ)に応じて、いくつかのタブが表示されます。タブでは、次のタスクを実行できます。

ユーザアカウントの管理

ユーザタブから、6.2項 「ユーザアカウントの管理」の説明に従って、ユーザアカウントを作成、変更、削除、または一時的に無効にします。6.3項 「ユーザアカウントの追加オプション」では、パスワードポリシーの強制、暗号化したホームディレクトリの使用、ディスククオータの管理などの高度なオプションについて説明しています。

デフォルト設定の変更

新しいユーザのデフォルト設定タブで定義された設定に応じて、ローカルユーザアカウントが作成されます。6.4項 「ローカルユーザのデフォルト設定の変更」では、デフォルトのグループ割り当て、またはホームディレクトリのデフォルトパスおよびアクセス許可を変更する方法を説明します。

グループへのユーザの割り当て

6.5項 「グループへのユーザの割り当て」では、個別ユーザのグループの割り当てを変更する方法を説明します。

グループを管理する

グループタブから、既存のグループの追加、変更、または削除を行うことができます。この方法については、6.6項 「グループを管理する」を参照してください。

ユーザ認証方法を変更する

コンピュータがNISやLDAPなどのユーザ認証方法を提供するネットワークに接続されている場合は、認証設定タブで、認証方法を選択できます。詳細については、6.7項 「ユーザ認証方法を変更する」を参照してください。

ユーザとグループの管理用に、このダイアログでは同様の機能が提供されます。ダイアログ上部にある適切なタブを選択することにより、ユーザとグループの管理ビューを簡単に切り替えることができます。

[フィルタ]オプションで、変更するユーザまたはグループのセットを定義できます。ユーザまたはグループタブで、フィルタの設定をクリックすると、ユーザまたはグループを表示および編集できます。該当する場合、ローカルユーザLDAPユーザなどの特定のカテゴリに応じて一覧表示されます。フィルタの設定 › フィルタのカスタマイズで、カスタムフィルタをセットアップおよび使用できます。

選択したフィルタに応じて、このダイアログから次のオプションおよび機能がすべて利用できるとは限りません。

6.2 ユーザアカウントの管理

 

YaSTでは、ユーザアカウントの作成、変更、削除、または一時的な無効化が可能です。熟練したユーザか管理者でない限り、ユーザアカウントを変更しないでください。

注記
注記: 既存ユーザのユーザIDを変更する

ファイル所有権はユーザ名ではなくユーザIDにバインドされます。ユーザIDの変更後、この変更に合わせてユーザのホームディレクトリのファイルが自動的に調整されます。ただし、ユーザは、IDの変更後、ファイルシステム内の他の場所で作成したファイルのファイル所有権を失います(それらのファイルの所有権が手動で変更されない限り)。

次の手順は、デフォルトのユーザアカウントの設定方法を示しています。さらに詳細なオプションについては、6.3項 「ユーザアカウントの追加オプション」を参照してください。

手順 6.1: ユーザアカウントを追加または変更する
 

  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブをクリックします。

  2. フィルタを設定では、管理するユーザセットを定義します。このダイアログには、システムのユーザ、およびユーザが属するグループが一覧にされます。

  3. 既存のユーザに対するオプションを変更するには、エントリを選択し、編集をクリックします。

    新しいユーザアカウントを作成するには、追加をクリックします。

  4. (ログインで使用される)ユーザ名およびパスワードなど、最初のタブで適切なユーザデータを入力します。このデータは、新しいユーザを作成するために十分なものです。OKをクリックすると、システムによって自動的にユーザIDを割り当てられ、他の値はすべてデフォルトに設定されます。

  5. このユーザのメールボックスにシステム通知が配信されるようにする場合は、システムメールの受信を有効にします。これによってrootのメールエイリアスが作成され、このユーザは最初にrootとしてログインしなくてもシステムメールが読めるようになります。

    システムサービスにより送信されたメールは、ローカルメールボックス/var/spool/mail/USERNAMEに保存されます(USERNAMEは選択されたユーザのログイン名)。電子メールを読むには、mailコマンドを使用できます。

  6. ユーザIDまたはユーザのホームディレクトリへのパスなど、さらに詳細な情報を調整するには、詳細タブを使用します。

    既存のユーザのホームディレクトリを再配置する必要がある場合は、新しいホームディレクトリへのパスを入力し、新しい場所に移動により現在のホームディレクトリの内容を移動します。ホームディレクトリを再配置する必要がない場合は、既存データが存在しなくても新しいホームディレクトリが作成されます。

  7. パスワードを定期的に変更することをユーザに強制するか、他のパスワードオプションを設定するには、パスワードの設定に切り替え、オプションを調整します。詳細については、6.3.2項 「パスワードポリシーの強制」を参照してください。

  8. すべてのオプションが希望どおりに設定されたら、OKをクリックします。

  9. OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。新たに追加されたユーザは、作成済みのログイン名とパスワードを使用してシステムにログインできるようになります。

    また、ユーザとグループの管理ダイアログを閉じずにすべての変更を保存するには、熟練者向けオプション › 変更を今すぐ書き込むの順にクリックします。

警告
警告: rootアカウントの名前を変更しないでください

技術的にはrootアカウントの名前を変更することは可能ですが、特定のアプリケーション、スクリプト、またはサードパーティ製品は、rootというユーザの存在に依存する場合があります。このような設定は常に個々の環境を対象としていますが、必要な調整はベンダの更新によって上書きされる可能性があるため、これは1回限りの設定ではなく、継続的なタスクとなります。これは、サードパーティアプリケーションを含む複雑なセットアップの場合に特に当てはまり、rootアカウントの名前変更がサポートされているかどうかを関係するすべてのベンダに確認する必要があります。

rootアカウントの名前変更による影響は予測できないため、SUSEでは、rootアカウントの名前変更はサポートしていません。

通常、rootアカウントの名前を変更するのは、このアカウントを隠したり、予測できないようにしたりするためです。ただし、/etc/passwdは通常のユーザに644の許可を要求するため、システムのどのユーザもユーザID 0のログイン名を取得できます。rootアカウントをセキュリティで保護するためのより良い方法については、Section 14.5, “Restricting root logins”Section 14.5.3, “Restricting SSH logins”を参照してください。

ヒント
ヒント: ユーザIDの一致

ネットワーク内でのIDに(ローカル)ユーザIDを一致させると便利です。たとえば、ラップトップの新しい(ローカル)ユーザは、ネットワーク環境に統合する際に同じユーザIDを割り当てる必要があります。これにより、ユーザがオフラインで作成するファイルのファイル所有権は、直接ネットワーク上で作成した場合のファイル所有権と同じになります。

手順 6.2: ユーザアカウントを無効化または削除する
 

  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブをクリックします。

  2. ユーザアカウントを削除しないで一時的に無効にするには、リストからユーザを選択し、編集をクリックします。ユーザログインを禁止するを有効にします。ユーザは、アカウントを再び有効にするまで、マシンにログインできません。

  3. ユーザアカウントを削除するには、リストからユーザを選択して、削除をクリックします。ユーザのホームディレクトリを削除するか、またはこのデータを保持するかを選択します。

6.3 ユーザアカウントの追加オプション

 

SUSE® Linux Enterprise Desktopには、デフォルトユーザアカウントの設定のほか、さまざまなオプションも用意されています。たとえば、パスワードポリシーの強制、暗号化したホームディレクトリの使用、ユーザとグループのディスククオータの定義のためのオプションがあります。

6.3.1 自動ログインおよびパスワードレスログイン

 

GNOMEデスクトップ環境を使用している場合、特定のユーザには「自動ログイン」を設定し、すべてのユーザに「パスワードなしのログイン」を設定できます。自動ログインでは、ユーザがブート時にデスクトップ環境に自動的にログインします。この機能は、一度に1人のユーザについてのみ有効にできます。パスワードなしのログインでは、どのユーザも、ログインマネージャにユーザ名を入力するだけでシステムにログインできます。

警告
警告: セキュリティリスク

複数のユーザがアクセスできるマシンで自動ログインまたはパスワードレスログインを有効にすることはセキュリティ上のリスクを伴います。どのユーザでもシステムおよびデータにアクセスでき、認証の必要もありません。システムに機密情報などの重要なデータを保管している場合は、この機能は使用しないでください。

自動ログインまたはパスワードなしのログインを有効にするには、熟練者向けオプション › ログイン設定の順に選択し、YaSTのユーザとグループの管理でこれらの機能にアクセスします。

6.3.2 パスワードポリシーの強制

 

複数のユーザが使用するシステムでは、最低限のパスワードセキュリティポリシーを強制することをお勧めします。ユーザに定期的にパスワードを変更させたり、推測しにくいような複雑なパスワードを使用させることができます。ローカルユーザの場合は、次の手順に従います。

手順 6.3: パスワードを設定する
 

  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブを選択します。

  2. ユーザを選択し、編集をクリックします。

  3. パスワードの設定タブに切り替えます。ユーザの最後のパスワード変更がタブに表示されています。

  4. 次回のログインでパスワードを変更するようにユーザに強制するには、次のログイン時にパスワード変更を強制するを有効にします。

  5. パスワードのローテーションを強制するには、同じパスワードを使用できる最長日数および同じパスワードを使用する最短日数を設定します。

  6. 期限切れになる前にパスワードを変更するようにユーザに通知するには、パスワード失効予告日数に日数を設定します。

  7. パスワードが期限切れになった後ユーザがログインできる期間を制限するには、パスワードの有効期限切れログインを使用できる日数の値を変更します。

  8. また、アカウント全体の特定の有効期限を指定できます。有効期限YYYY-MM-DD形式で入力します。これはパスワード関連の設定ではなく、アカウント自体に適用されます。

  9. オプションおよびデフォルト値の詳細については、ヘルプをクリックしてください。

  10. 変更内容を反映するには、OKをクリックします。

6.3.3 クォータの管理

 

システム容量が通知なく枯渇することのないように、システム管理者はユーザまたはグループに対するクオータを設定できます。クオータは、1つ以上のファイルシステムに対して定義されるもので、これにより使用可能なディスク容量および作成可能なiノード(インデックスノード)の数を制限できます。iノードは、通常のファイル、ディレクトリ、または他のファイルシステムオブジェクトに関する基本的な情報を保存するファイルシステム上のデータ構造です。また、ファイル名とコンテンツを除いて、ファイルシステムオブジェクト(ユーザおよびグループの所有権、読み取り、書き込み、または実行のパーミッションなど)のすべての属性を保存します。

SUSE Linux Enterprise Desktopでは、softクォータおよびhardクォータを使用できます。さらに、ユーザまたはグループが特定量まで一時的にクオータを超過できる猶予間隔を定義できます。

ソフトクォータ

限界に近づいたときにユーザに通知する警告レベルを定義します。管理者は、パーティションのデータのクリーンアップと削減を行うようにユーザに促す場合があります。通常、ソフトクォータの限界値は、ハードクォータの限界値よりも低くなります。

ハードクォータ

書き込み要求が拒否される限界を定義します。ハードクォータに達すると、それ以上データを格納することができなくなり、アプリケーションがクラッシュする可能性が高くなります。

Grace period (猶予期間)

ソフトクォータに達してから警告の発行までの時間を定義します。通常、1時間、数時間など小さな値を設定します。

手順 6.4: パーティションのクォータサポートの有効化
 

特定のユーザおよびグループにクオータを設定するには、YaSTのエキスパートパーティショナで、対応するパーティションのクォータサポートを有効にしておく必要があります。

  1. YaSTでシステム › ディスクの分割の順に選択し、はいをクリックして続行します。

  2. エキスパートパーティショナで、クオータを有効にするパーティションを選択して、編集をクリックします。

  3. Fstabオプションをクリックし、Enable Quota Supportを有効にします。quotaパッケージがまだインストールされていない場合は、はいのクリックで各メッセージを確認することにより、クオータパッケージがインストールされます。

  4. 変更を確認し、エキスパートパーティショナを終了します。

  5. 次のコマンドを入力して、quotaonサービスが実行されていることを確認してください。 

    > sudo systemctl status quotaon.service

    サービスは、activeとしてマークされている必要があります。そうでない場合は、systemctl start quotaon.serviceコマンドを使用して開始する必要があります。

手順 6.5: ユーザまたはグループのクォータを設定する
 

これで、特定のユーザまたはグループに対するソフトクオータまたはハードクオータを定義し、猶予間隔を指定できます。

  1. YaSTのユーザとグループの管理で、クオータの設定対象とするユーザまたはグループを選択し、編集をクリックします。

  2. プラグインタブで、ユーザクォータの管理のエントリを選択してから、起動をクリックしてクォータの設定ダイアログを開きます。

  3. ファイルシステムから、クオータを適用するパーティションを選択します。

    #1: ユーザまたはグループのクォータを設定する

  4. サイズ制限では、ディスクスペースの容量を制限します。ユーザまたはグループがこのパーティションで持つことができる1KBブロックの数を入力します。Soft Limitおよびハード制限の値を指定します。

  5. さらに、ユーザまたはグループがこのパーティションで持つことができるiノードの数を制限できます。iノード制限で、Soft Limitおよびハード制限を入力します。

  6. サイズまたはiノードに対して指定されたソフト制限をユーザまたはグループが既に超過している場合にのみ猶予間隔を定義できます。このソフト制限を超過していない場合、時間に関連するテキストボックスは有効になりません。ユーザまたはグループが上記の制限セットを超過できる期間を指定します。

  7. 入力した設定を確認して、OKをクリックします。

  8. OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

    また、ユーザとグループの管理ダイアログを閉じずにすべての変更を保存するには、熟練者向けオプション › 変更を今すぐ書き込むの順にクリックします。

SUSE Linux Enterprise Desktopには、repquotawarnquotaなどのコマンドラインツールも付属しています。システム管理者はこれらのツールを使用してディスク使用量を制限したり、所定のクオータを超過しているユーザに電子メール通知を送信したりすることができます。管理者はまた、quota_nldを使用することにより、超過したクオータに関するカーネルメッセージをD-BUSに転送できます。詳細については、repquotawarnquota、およびquota_nldのマニュアルページを参照してください。

6.4 ローカルユーザのデフォルト設定の変更

 

新しくローカルユーザを作成する際には、いくつかのデフォルト設定がYaSTで使用されます。これらには、たとえば、ユーザが属するグループ、ユーザのホームディレクトリのアクセスパーミッションなどが含まれます。これらのデフォルト設定値は、必要に応じて変更することができます。

  1. YaSTのユーザとグループの管理ダイアログを開き、Defaults for New Users (新規ユーザのデフォルト)タブを選択します。

  2. 新しいユーザが自動的に属するグループを変更するには、既定のグループから別のグループを選択します。

  3. 新しいユーザのホームディレクトリのデフォルトパスとして/home/USERNAMEを使用しない場合は、ホームディレクトリのパスプレフィクスを変更します。

  4. 新たに作成したホームディレクトリのデフォルトのパーミッションモードを変更するには、ホームディレクトリ用のUmaskのumask値を調整します。umaskの詳細については、Chapter 19, Access control lists in Linuxおよびumaskのマニュアルページを参照してください。

  5. それぞれのオプションの詳細については、ヘルプをクリックしてください。

  6. 変更内容を反映するには、OKをクリックします。

6.5 グループへのユーザの割り当て

 

ユーザとグループの管理ダイアログの新しいユーザのデフォルト設定タブからアクセス可能なデフォルト設定に従って、さまざまなグループにローカルユーザが割り当てられます。次に、個別ユーザのグループ割り当てを変更する方法を説明します。新しいユーザに対するデフォルトのグループの割り当てを変更する必要がある場合については、6.4項 「ローカルユーザのデフォルト設定の変更」を参照してください。

手順 6.6: ユーザのグループ割り当てを変更する
 

  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブをクリックします。ユーザ、およびユーザが属するグループが一覧にされます。

  2. 編集をクリックし、詳細タブに切り替えます。

  3. ユーザが属するプライマリグループを変更するには、既定のグループをクリックし、リストからグループを選択します。

  4. 追加のセカンダリグループをユーザに割り当てるには、追加のグループのリストで対応するチェックボックスをオンにします。

  5. OKをクリックして、変更を適用します。

  6. OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

    また、ユーザとグループの管理ダイアログを閉じずにすべての変更を保存するには、熟練者向けオプション › 変更を今すぐ書き込むの順にクリックします。

6.6 グループを管理する

 

YaSTでは、グループの追加、変更、または削除も容易に実行できます。

手順 6.7: グループを作成および変更する
 

  1. YaSTのユーザとグループの管理ダイアログを開き、グループタブをクリックします。

  2. フィルタを設定では、管理するグループセットを定義します。ダイアログに、システム内のグループが一覧にされます。

  3. 新しいグループを追加するには、追加をクリックします。

  4. 既存のグループを変更するには、グループを選択して編集をクリックします。

  5. 次のダイアログで、データを入力または変更します。右のリストでは、グループのメンバーになることができる利用可能なすべてのユーザおよびシステムユーザの概要が表示されます。

    #1: グループを作成および変更する

  6. 新しいグループに既存のユーザを追加するには、選択可能なグループのメンバーのリストで、該当するボックスをオンにして選択します。既存のユーザをグループから削除するには、このボックスをオフにします。

  7. OKをクリックして、変更を適用します。

  8. OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

    また、ユーザとグループの管理ダイアログを閉じずにすべての変更を保存するには、熟練者向けオプション › 変更を今すぐ書き込むの順にクリックします。

グループを削除するには、すべてのグループメンバーを削除する必要があります。グループを削除するには、リストからグループを選択し、削除をクリックします。OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。また、ユーザとグループの管理ダイアログを閉じずにすべての変更を保存するには、熟練者向けオプション › 変更を今すぐ書き込むの順にクリックします。

6.7 ユーザ認証方法を変更する

 

マシンがネットワークに接続されている場合は認証方法を変更できます。次のオプションを指定できます。

NIS

ユーザはネットワーク上のすべてのシステムに対し、1台のNISサーバ上で集中的に管理されます。詳細については、Chapter 3, Using NISを参照してください。

SSSD

システムセキュリティサービスデーモン(SSSD)は、ユーザデータをローカルにキャッシュすることにより、実際のディレクトリサービスが(一時的に)アクセス不能な場合でもユーザがデータを利用できるようにします。詳細については、Section 4.2, “SSSD”を参照してください。

Samba

SMB認証は、通常、LinuxとWindowsが混在するネットワークで使用されます。詳細については、Chapter 7, Active Directory supportを参照してください。

認証方法を変更するには、以下の手順に従ってください。

  1. YaSTのユーザとグループの管理ダイアログを開きます。

  2. Authentication Settingsタブをクリックすると、利用可能な認証方法と現在の設定の概要が表示されます。

  3. 認証方法を変更するには、設定をクリックし、変更する認証方法を選択します。これにより、YaSTのクライアント設定モジュールに直接切り替わります。適切なクライアントの設定について詳細は、次のセクションを参照してください。

    NIS: Section 3.2, “Configuring NIS clients”

    LDAP: Section 4.1, “Configuring an authentication client with YaST”

    SSSD: Section 4.2, “SSSD”

  4. この設定を確認した後、ユーザとグループの管理の概要に戻ります。

  5. OKをクリックして、管理ダイアログを閉じます。

6.8 デフォルトのシステムユーザ

 

デフォルトでは、SUSE Linux Enterprise Desktopに削除できないユーザ名が作成されます。これらのユーザは通常、Linux Standard Baseで定義されます。次のリストに、一般的なユーザ名とその目的を示します。

デフォルトでインストールされる一般的なユーザ名
 
bin, daemon

レガシアプリケーションとの互換性を維持するために用意されているレガシユーザ。新しいアプリケーションではこのユーザ名を使用しないでください。

gdm

グラフィカルログインを提供したり、ローカル表示とリモート表示を管理したりするために、GNOMEディスプレイマネージャ(GDM)によって使用されています。

lp

CUPS (Common Unix Printing System)用にプリンタデーモンによって使用されています。

mail

sendmailpostfixなどの、ユーザ用に予約されたメーラープログラム。

man

manページへのアクセスに使用されています。

messagebus

プロセス間通信用のソフトウェアバスであるD-Bus (デスクトップバス)へのアクセスに使用されています。デーモンはdbus-daemonです。

nobody

ファイルを所有せず権限付きグループに属していないユーザ。Linux Standard Baseは、デーモンごとに別個のユーザアカウントを設定することを推奨しているため、現在ではあまり使用されていません。

nscd

ネームサービスキャッシュデーモンによって使用されています。このデーモンは、NISとLDAPのパフォーマンスを向上させる参照サービスです。デーモンはnscdです。

polkitd

PolicyKit認可フレームワークによって使用されています。このフレームワークは、権限のないプロセスの認可要求を処理します。デーモンはpolkitdです。

postfix

Postfixメーラーによって使用されています。

pulse

Pulseaudioサウンドサーバによって使用されています。

root

適切なすべての権限を付与するシステム管理者が使用しています。

rpc

RPCポートマッパーであるrpcbindコマンドによって使用されています。

rtkit

リアルタイムスケジューリングモード用のD-Busシステムサービスを提供するrtkitパッケージによって使用されています。

salt

Saltが提供しているパラレルリモート実行用のユーザ。デーモンの名前はsalt-masterです。

scard

スマートカードとそのリーダーとの通信を行うユーザ。デーモンの名前はpcscdです。

srvGeoClue

位置情報を提供するためにGeoClue D-Busサービスによって使用されています。

sshd

セキュアでないネットワーク上で暗号化されたセキュアな通信を確保するためにSecure Shellデーモン(SSH)によって使用されています。

statd

ネットワークステータスモニタ(NSM)プロトコルによって使用されています。再起動通知をリッスンするためにrpc.statdデーモンで実装されます。

systemd-coredump

コアダンプを取得、保存、および処理するために/usr/lib/systemd/systemd-coredumpコマンドによって使用されています。

systemd-timesync

リモートのネットワークタイムプロトコル(NTP)サーバとローカルシステムクロックを同期させるために/usr/lib/systemd/systemd-timesyncdコマンドによって使用されています。

6.9 デフォルトのシステムグループ

 

デフォルトで、SLEはシステムサービスで使用される複数のユーザグループを作成します。次のリストは、必須および一般的なオプショングループの例を示しています。

root

すべての特権を持つ管理グループ。

bin

レガシアプリケーションとの互換性を維持するために用意されています。新しいアプリケーションでは、このグループを使用しないでください。

daemon

以前は、デーモンのシステムへのアクセスを制限するために使用されていました。現在は、デーモンが互いに分離するように独自のUID/GIDで実行される必要があります。

audio

オーディオデバイスの特権。

gdm

GNOMEディスプレイマネージャの特権。

chrony

時間同期サービスの特権。

kvm

QEMUマシンエミュレータツールキットの特権。

libvirt

仮想スタックの特権。

lp

プリンタ運用の特権。

mail

メールサービスの特権。

man

マニュアルページとmanコマンドに固有の特権。

sshd

SSH通信プロトコルデーモンの特権。