22 YaSTによるユーザの管理 #
インストール時にシステム用のローカルユーザを作成できました。YaSTの
モジュールを使用して、ユーザの追加や既存ユーザの編集が可能です。また、ネットワークサーバでユーザを認証するようにシステムを設定できます。22.1 [ユーザとグループの管理]ダイアログ #
ユーザまたはグループを管理するには、YaSTを起動し、sudo yast2 users &
を実行して、 ダイアログを直接起動することもできます。
各ユーザには、システム全体で使用できるユーザーID (UID)が割り当てられます。マシンにログインできるユーザ以外にも、内部での使用のみが目的のさまざまな「システムユーザ」が存在します。各ユーザは、1つ以上のグループに割り当てられます。システムユーザと同様に、内部用途のシステムグループも存在します。
このダイアログで表示および変更するために選択したユーザセット(ローカルユーザ、ネットワークユーザ、システムユーザ)に応じて、メインウィンドウにはさまざまなタブが表示されます。これにより、次のタスクを実行できます。
- ユーザアカウントを管理する
22.2項 「ユーザアカウントの管理」の説明に従って、ユーザアカウントを作成、変更、削除、または一時的に無効にします。22.3項 「ユーザアカウントの追加オプション」では、パスワードポリシーの強制、暗号化したホームディレクトリの使用、ディスククオータの管理などの高度なオプションについて説明しています。
タブから、- デフォルト設定の変更
22.4項 「ローカルユーザのデフォルト設定の変更」では、デフォルトのグループ割り当て、またはホームディレクトリのデフォルトパスおよびアクセス許可を変更する方法を説明します。
タブで定義された設定に応じて、ローカルユーザアカウントが作成されます。- グループへのユーザの割り当て
22.5項 「グループへのユーザの割り当て」では、個別ユーザのグループの割り当てを変更する方法を説明します。
- グループを管理する
22.6項 「グループを管理する」を参照してください。
タブから、既存のグループの追加、変更、または削除を行うことができます。この方法については、- ユーザ認証方法を変更する
コンピュータがNISやLDAPなどのユーザ認証方法を提供するネットワークに接続されている場合は、22.7項 「ユーザ認証方法を変更する」を参照してください。
タブで、認証方法を選択できます。詳細については、
ユーザとグループの管理用に、このダイアログでは同様の機能が提供されます。ダイアログ上部にある適切なタブを選択することにより、ユーザとグループの管理ビューを簡単に切り替えることができます。
[フィルタ]オプションで、変更するユーザまたはグループを定義できます。
または タブで、 をクリックすると、ユーザまたはグループを表示および編集できます。該当する場合、 や などの特定のカテゴリに応じて一覧表示されます。 › で、カスタムフィルタをセットアップおよび使用できます。選択するフィルタによっては、以降のオプションと機能の一部がダイアログから利用できなくなります。
22.2 ユーザアカウントの管理 #
YaSTでは、ユーザアカウントの作成、変更、削除、または一時的な無効化が可能です。熟練したユーザか管理者でない限り、ユーザアカウントを変更しないでください。
ファイル所有権はユーザ名ではなくユーザIDにバインドされます。ユーザIDの変更後、この変更に合わせてユーザのホームディレクトリのファイルが自動的に調整されます。ただし、ユーザは、IDの変更後、ファイルシステム内の他の場所で作成したファイルのファイル所有権を失います(それらのファイルの所有権が手動で変更されない限り)。
次に、デフォルトのユーザアカウントを設定する方法を説明します。さらに詳細なオプションについては、22.3項 「ユーザアカウントの追加オプション」を参照してください。
YaSTの
ダイアログを開き、 タブをクリックします。既存のユーザに対するオプションを変更するには、エントリを選択し、
をクリックします。新しいユーザアカウントを作成するには、
をクリックします。(ログインで使用される)
および など、最初のタブで適切なユーザデータを入力します。このデータは、新しいユーザを作成するために十分なものです。ここで をクリックすると、システムにより自動的にユーザIDが割り当てられ、デフォルトに従って他のすべての値が設定されます。このユーザのメールボックスに全種類のシステム通知が配信されるようにする場合は、
を有効にします。これによってroot
のメールエイリアスが作成され、このユーザは最初にroot
としてログインしなくてもシステムメールが読めるようになります。システムサービスにより送信されたメールは、ローカルメールボックス
/var/spool/mail/
USERNAMEに保存されます(USERNAMEは選択されたユーザのログイン名)。電子メールを読むには、mail
コマンドを使用できます。ユーザIDまたはユーザのホームディレクトリへのパスなど、さらに詳細な情報を調整するには、
タブを使用します。既存のユーザのホームディレクトリを再配置する必要がある場合は、新しいホームディレクトリへのパスを入力し、
により現在のホームディレクトリの内容を移動します。ホームディレクトリを再配置する必要がない場合は、既存データが存在しなくても新しいホームディレクトリが作成されます。パスワードを定期的に変更することをユーザに強制するか、他のパスワードオプションを設定するには、22.3.2項 「パスワードポリシーの強制」を参照してください。
に切り替え、オプションを調整します。詳細については、すべてのオプションが希望どおりに設定されたら、
をクリックします。また、
ダイアログを閉じずにすべての変更を保存するには、 › の順にクリックします。
ネットワーク内でのIDに(ローカル)ユーザIDを一致させると便利です。たとえば、ラップトップの新しい(ローカル)ユーザは、ネットワーク環境に統合する際に同じユーザIDを割り当てる必要があります。これにより、ユーザが「オフライン」で作成するファイルのファイル所有権は、直接ネットワーク上で作成した場合のファイル所有権と同じになります。
YaSTの
ダイアログを開き、 タブをクリックします。ユーザアカウントを削除しないで一時的に無効にするには、リストからユーザを選択し、
をクリックします。 を有効にします。ユーザは、アカウントを再び有効にするまで、マシンにログインできません。ユーザアカウントを削除するには、リストからユーザを選択して、
をクリックします。ユーザのホームディレクトリを削除するか、またはこのデータを保持するかを選択します。
22.3 ユーザアカウントの追加オプション #
SUSE® Linux Enterprise Serverには、デフォルトユーザアカウントの設定のほか、さまざまなオプションも用意されています。たとえば、パスワードポリシーの強制、暗号化したホームディレクトリの使用、ユーザとグループのディスククオータの定義のためのオプションがあります。
22.3.1 自動ログインおよびパスワードレスログイン #
GNOMEデスクトップ環境を使用している場合、特定のユーザには「自動ログイン」を設定し、すべてのユーザに「パスワードなしのログイン」を設定できます。自動ログインでは、ユーザがブート時にデスクトップ環境に自動的にログインします。この機能は、一度に1人のユーザについてのみ有効にできます。パスワードなしのログインでは、どのユーザも、ログインマネージャにユーザ名を入力するだけでシステムにログインできます。
複数のユーザがアクセスできるマシンで自動ログインまたはパスワードレスログインを有効にすることはセキュリティ上のリスクを伴います。どのユーザでもシステムおよびデータにアクセスでき、認証の必要もありません。システムに機密情報などの重要なデータを保管している場合は、この機能は使用しないでください。
自動ログインまたはパスワードなしのログインを有効にするには、
› の順に選択し、YaSTの でこれらの機能にアクセスします。22.3.2 パスワードポリシーの強制 #
複数のユーザが使用するシステムでは、最低限のパスワードセキュリティポリシーを強制することをお勧めします。ユーザに定期的にパスワードを変更させたり、推測しにくいような複雑なパスワードを使用させることができます。ローカルユーザの場合は、次の手順に従います。
YaSTの
ダイアログを開き、 タブを選択します。パスワードオプションを変更するユーザを選択し、
をクリックします。次回のログインでパスワードを変更するようにユーザに強制するには、
を有効にします。パスワードのローテーションを強制するには、
および を設定します。期限切れになる前にパスワードを変更するようにユーザに通知するには、
に日数を設定します。パスワードが期限切れになった後ユーザがログインできる期間を制限するには、
の値を変更します。また、アカウント全体の特定の有効期限を指定できます。
をYYYY-MM-DD形式で入力します。これはパスワード関連の設定ではなく、アカウント自体に適用されることに注意してください。これらのオプションおよびそのデフォルト値の詳細については、
をクリックしてください。変更内容を反映するには、
をクリックします。
22.3.3 クオータの管理 #
システム容量が通知なく枯渇することのないように、システム管理者はユーザまたはグループに対するクオータを設定できます。クオータは、1つ以上のファイルシステムに対して定義されるもので、これにより使用可能なディスク容量および作成可能なiノード(インデックスノード)の数を制限できます。iノードは、通常のファイル、ディレクトリ、または他のファイルシステムオブジェクトに関する基本的な情報を保存するファイルシステム上のデータ構造です。また、ファイル名とコンテンツを除いて、ファイルシステムオブジェクト(ユーザおよびグループの所有権、読み取り、書き込み、または実行のパーミッションなど)のすべての属性を保存します。
SUSE Linux Enterprise Serverでは、ソフト
クオータとハード
クオータを使用できます。さらに、ユーザまたはグループが特定量まで一時的にクオータを違反できる猶予間隔を定義できます。
- ソフトクォータ
限界に近づいたときにユーザに通知する警告レベルを定義します。管理者は、パーティションのデータのクリーンアップと削減を行うようにユーザに促します。通常、ソフトクォータの限界値は、ハードクォータの限界値よりも低くなります。
- ハードクォータ
書き込み要求が拒否される限界を定義します。ハードクォータに達すると、それ以上データを格納することができなくなり、アプリケーションがクラッシュする可能性が高くなります。
- 猶予期間
ソフトクォータに達してから警告の発行までの時間を定義します。 通常、1時間、数時間など小さな値を設定します。
特定のユーザおよびグループにクオータを設定するには、YaSTのエキスパートパーティショナで、対応するパーティションのクォータサポートを有効にしておく必要があります。
Btrfsパーティションのクォータの処理は異なります。詳細については、1.2.5項 「サブボリュームに対するBtrfsクォータのサポート」を参照してください。
YaSTで
› の順に選択し、 をクリックして続行します。quota
パッケージがまだインストールされていない場合は、 のクリックで各メッセージを確認することにより、クオータパッケージがインストールされます。変更を確認し、
を終了します。次のコマンドを入力して、
quotaon
サービスが実行されていることを確認してください。tux >
sudo
systemctl status quotaonサービスは、
有効
なものとしてマークされている必要があります。そうでない場合は、systemctl start quotaon
コマンドを使用して開始する必要があります。
これで、特定のユーザまたはグループに対するソフトクオータまたはハードクオータを定義し、猶予間隔を指定できます。
YaSTの
で、クオータの設定対象とするユーザまたはグループを選択し、 をクリックします。さらに、ユーザまたはグループがこのパーティションで持つことができるiノードの数を制限できます。
で、 および を入力します。サイズまたはiノードに対して指定されたソフト制限をユーザまたはグループが既に超過している場合にのみ猶予間隔を定義できます。このソフト制限を超過していない場合、時間に関連するテキストボックスは有効になりません。ユーザまたはグループが上記の制限セットを超過できる期間を指定します。
入力した設定を確認して、
をクリックします。また、
ダイアログを閉じずにすべての変更を保存するには、 › の順にクリックします。
SUSE Linux Enterprise Serverには、repquota
やwarnquota
などのコマンドラインツールも付属しています。システム管理者はこれらのツールを使用してディスク使用量を制限したり、所定のクオータを超過しているユーザに電子メール通知を送信したりすることができます。管理者はまた、quota_nld
を使用することにより、超過したクオータに関するカーネルメッセージをD-BUSに転送できます。詳細については、repquota
、warnquota
、およびquota_nld
のマニュアルページを参照してください。
22.4 ローカルユーザのデフォルト設定の変更 #
新しくローカルユーザを作成する際には、いくつかのデフォルト設定がYaSTで使用されます。これらには、たとえば、ユーザが属するプライマリグループとセカンダリグループ、ユーザのホームディレクトリのアクセスパーミッションなどが含まれます。これらのデフォルト設定値は、必要に応じて変更することができます。
YaSTの
ダイアログを開き、 タブを選択します。新しいユーザが自動的に属するプライマリグループを変更するには、
から別のグループを選択します。新しいユーザのセカンダリグループを変更するには、
でグループを追加するか変更します。グループ名はカンマで区切る必要があります。新しいユーザのホームディレクトリのデフォルトパスとして
/home/USERNAME
を使用しない場合は、 を変更します。新たに作成したホームディレクトリのデフォルトのパーミッションモードを変更するには、Chapter 19, Access Control Lists in Linuxおよび
のumask値を調整します。umaskの詳細については、umask
のマニュアルページを参照してください。それぞれのオプションの詳細については、
をクリックしてください。変更内容を反映するには、
をクリックします。
22.5 グループへのユーザの割り当て #
22.4項 「ローカルユーザのデフォルト設定の変更」を参照してください。
ダイアログの タブからアクセス可能なデフォルト設定に従って、さまざまなグループにローカルユーザが割り当てられます。次に、個別ユーザのグループ割り当てを変更する方法を説明します。新しいユーザに対するデフォルトのグループの割り当てを変更する必要がある場合については、YaSTの
ダイアログを開き、 タブをクリックします。ユーザ、およびユーザが属するグループが一覧にされます。ユーザが属するプライマリグループを変更するには、
をクリックし、リストからグループを選択します。追加のセカンダリグループをユーザに割り当てるには、
のリストで対応するチェックボックスをオンにします。また、
ダイアログを閉じずにすべての変更を保存するには、 › の順にクリックします。
22.6 グループを管理する #
YaSTでは、グループの追加、変更、または削除も容易に実行できます。
YaSTの
ダイアログを開き、 タブをクリックします。新しいグループを追加するには、
をクリックします。既存のグループを変更するには、グループを選択して
をクリックします。次のダイアログで、データを入力または変更します。右のリストでは、グループのメンバになることができる利用可能なすべてのユーザおよびシステムユーザの概要が表示されます。
新しいグループに既存のユーザを追加するには、選択可能な
のリストで、該当するボックスをオンにして選択します。既存のユーザをグループから削除するには、このボックスをオフにします。また、
ダイアログを閉じずにすべての変更を保存するには、 › の順にクリックします。
グループを削除するには、すべてのグループメンバーを削除する必要があります。グループを削除するには、リストからグループを選択し、
をクリックします。 をクリックして、管理ダイアログを閉じ、変更内容を保存します。また、 ダイアログを閉じずにすべての変更を保存するには、 › の順にクリックします。22.7 ユーザ認証方法を変更する #
マシンがネットワークに接続されている場合は認証方法を変更できます。次のオプションを指定できます。
- NIS
ユーザはネットワーク上のすべてのシステムに対し、1台のNISサーバ上で集中的に管理されます。詳細については、Chapter 3, Using NISを参照してください。
- SSSD
システムセキュリティサービスデーモン(SSSD)は、ユーザデータをローカルにキャッシュすることにより、実際のディレクトリサービスが(一時的に)アクセス不能な場合でもユーザがデータを利用できるようにします。詳細については、Section 4.2, “SSSD”を参照してください。
- Samba
SMB認証は、通常、LinuxとWindowsが混在するネットワークで使用されます。詳細については、第34章 「Samba」を参照してください。
認証方法を変更するには、以下の手順に従ってください。
YaSTの
ダイアログを開きます。認証方法を変更するには、
をクリックし、変更する認証方法を選択します。これにより、YaSTのクライアント設定モジュールに直接切り替わります。適切なクライアントの設定について詳細は、次のセクションを参照してください。NIS: Section 3.2, “Configuring NIS Clients”
LDAP: Section 4.1, “Configuring an Authentication Client with YaST”
Samba: 34.5.1項 「YaSTによるSambaクライアントの設定」
SSSD: Section 4.2, “SSSD”
この設定を確認した後、
の概要に戻ります。
22.8 デフォルトのシステムユーザ #
デフォルトでは、SUSE Linux Enterprise Serverに削除できないユーザ名が作成されます。これらのユーザは通常、Linux Standard Baseで定義されます。次のリストに、一般的なユーザ名とその目的を示します。
bin
,デーモン
レガシアプリケーションとの互換性を維持するために用意されているレガシユーザ。新しいアプリケーションではこのユーザ名を使用しないでください。
gdm
グラフィカルログインを提供したり、ローカル表示とリモート表示を管理したりするために、GNOMEディスプレイマネージャ(GDM)によって使用されています。
lp
CUPS (Common Unix Printing System)用にプリンタデーモンによって使用されています。
メール
sendmail
やpostfix
などの、ユーザ用に予約されたメーラープログラム。man
manページへのアクセスに使用されています。
messagebus
プロセス間通信用のソフトウェアバスであるD-Bus (デスクトップバス)へのアクセスに使用されています。デーモンの名前は
dbus-daemon
です。nobody
ファイルを所有せず権限付きグループに属していないユーザ。Linux Standard Baseは、デーモンごとに別個のユーザアカウントを設定することを推奨しているため、現在ではあまり使用されていません。
nscd
ネームサービスキャッシュデーモンによって使用されています。このデーモンは、NISとLDAPのパフォーマンスを向上させる参照サービスです。デーモンの名前は
nscd
です。polkitd
PolicyKit認可フレームワークによって使用されています。このフレームワークは、権限のないプロセスの認可要求を処理します。デーモンの名前は
polkitd
です。postfix
Postfixメーラーによって使用されています。
pulse
Pulseaudioサウンドサーバによって使用されています。
root
適切なすべての権限を付与するシステム管理者が使用しています。
rpc
RPCポートマッパーである
rpcbind
コマンドによって使用されています。rtkit
リアルタイムスケジュールモードでD-Busシステムサービスを提供する rtkit パッケージによって使用されています。
salt
Saltが提供しているパラレルリモート実行用のユーザ。デーモンの名前は
salt-master
です。scard
スマートカードとそのリーダーとの通信を行うユーザ。デーモンの名前は
pcscd
です。srvGeoClue
位置情報を提供するためにGeoClue D-Busサービスによって使用されています。
sshd
セキュアでないネットワーク上で暗号化されたセキュアな通信を確保するためにSecure Shellデーモン(SSH)によって使用されています。
statd
ネットワークステータスモニタ(NSM)プロトコルによって使用されています。再起動通知をリッスンするために
rpc.statd
デーモンで実装されます。systemd-coredump
コアダンプの取得、保存、処理を行うために
/usr/lib/systemd/systemd-coredump
コマンドによって使用されています。systemd-timesync
リモートのネットワークタイムプロトコル(NTP)サーバとローカルシステムクロックを同期させるために
/usr/lib/systemd/systemd-timesyncd
コマンドによって使用されています。