跳到内容跳到页面导航:上一页 [access key p]/下一页 [access key n]
documentation.suse.com / SUSE Linux Enterprise Server 文档 / 部署指南 / 初始系统配置 / 使用 YaST 管理用户
适用范围 SUSE Linux Enterprise Server 12 SP5

16 使用 YaST 管理用户

 

在安装期间,您可能已为系统创建了本地用户。使用 YaST 模块用户和组管理可以添加更多用户,或编辑现有用户。它还可让您配置系统,以便在网络服务器上对用户进行身份验证。

16.1 用户和组管理对话框

 

要管理用户或组,请启动 YaST 并单击安全和用户 ›  用户和组管理。或者,通过从命令行运行 sudo yast2 users & 来直接启动用户和组管理对话框。

YaST 用户和组管理
图 16.1︰ YaST 用户和组管理
 

每个用户都指派有一个系统范围的用户 ID (UID)。除了可以登录到您的计算机的用户之外,还存在几个仅供内部使用的系统用户。每位用户都会被指派到一个或多个组中。与系统用户类似,还存在仅供内部使用的系统组

根据使用此对话框来选择查看和修改的用户集(本地用户,网络用户,系统用户),主窗口会显示若干选项卡。这些选项卡可用于执行以下任务:

管理用户帐户

用户选项卡中,创建、修改、删除或临时禁用用户帐户(如第 16.2 节 “管理用户帐户”所述)。在第 16.3 节 “用户帐户的其他选项”中了解高级选项,例如强制实施口令策略、使用加密的主目录或管理磁盘定额。

更改默认设置

本地用户帐户是根据新用户默认值选项卡中定义的设置来创建的。通过第 16.4 节 “更改本地用户的默认设置”可以了解到如何更改默认组指派或用户主目录的默认路径和访问权限。

将用户指派到组

通过第 16.5 节 “将用户指派到组”可以了解到如何为单个用户更改组指派。

管理组

选项卡中,可以添加、修改或删除现有组。请参见第 16.6 节 “管理组”以获取有关如何进行此操作的信息。

更改用户身份验证方法

如果您的计算机已连接到提供了 NIS 或 LDAP 之类的用户身份验证方法的网络上,您可以在身份验证选项卡上的若干身份验证方法中进行选择。有关更多信息,请参考第 16.7 节 “更改用户身份验证方法”

对于用户和组管理,此对话框提供了类似的功能。通过在此对话框顶部选择适当的选项卡可以轻松地在用户和组管理视图间切换。

过滤器选项可用于定义要修改的用户集或组集:在用户选项卡上,单击设置过滤器,以便根据本地用户LDAP 用户(如果您在使用 LDAP 的网络中操作)之类的特定类别来查看和编辑用户或组。通过设置过滤器 › 自定义过滤器,您也可以设置和使用自定义过滤器。

此对话框可能并未提供以下所有选项和功能,具体取决于所选的过滤器。

16.2 管理用户帐户

 

YaST 可让您创建、修改、删除或临时禁用用户帐户。除非您是有经验的用户或管理员,否则不要修改用户帐户。

注意
注意:更改现有用户的用户 ID

文件所有权与用户 ID,而非用户名绑定在一起。用户 ID 更改后,此用户的用户主目录中的文件会自动调整,以反映出此更改。但是,ID 更改后,此用户就不再拥有其在文件系统的其他位置创建的文件的所有权,除非手动更改这些文件的所有权。

通过以下内容可以了解到如何设置默认用户帐户。有关其他选项,请参见第 16.3 节 “用户帐户的其他选项”

过程 16.1︰ 添加或修改用户帐户
 

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。

  2. 使用设置过滤器定义要管理的用户集。对话框中会列出系统中的用户以及用户所属的组。

  3. 要修改现有用户选项,请选择某一条目并单击编辑

    要创建新的用户帐户,请单击添加

  4. 在第个张选项卡上输入合适的用户数据,如用户名(用于登录)和口令。这些数据足以创建新用户。如果此时单击确定,系统将自动指派用户 ID 并将根据默认值设置所有其他值。

  5. 若要将任何类型的系统通知都递送到该用户的邮箱中,请激活接收系统邮件。这样,就会为 root 创建邮件别名,用户无需先以 root 身份登录便可阅读系统邮件。

    系统服务发送的邮件储存在本地邮箱 /var/spool/mail/USERNAME 中,其中 USERNAME 是所选用户的登录名。要阅读电子邮件,可以使用 mail 命令。

  6. 要调整其他细节(如用户 ID 或用户主目录的路径),可在细节选项卡上进行。

    如果需要重新定位现有用户的用户主目录,请在该选项卡中输入新的用户主目录路径,并使用移至新位置移动当前用户主目录的内容。否则,不会使用任何的现有数据来创建新的用户主目录。

  7. 要强制用户以常规方式更改口令或设置其他口令选项,请切换到口令设置并调整选项。有关详细信息,请参见第 16.3.2 节 “强制实施口令策略”

  8. 如果已按照需要设置了所有选项,请单击确定

  9. 单击确定以关闭管理对话框并保存更改。此时,新添加的用户可以使用您创建的登录名和口令登录系统。

    或者,要保存所有更改且不退出用户和组管理对话框,请单击专家选项 › 立即写入更改

提示
提示:匹配用户 ID

如果便携式计算机上的一个新(本地)用户还需要集成到某一网络环境中,而该用户在这个网络环境中已有用户 ID,则将该(本地)用户 ID 与网络 ID 匹配的操作对这个用户非常有用。这样可确保用户脱机创建的文件的所有权和其直接在网络上创建的文件的所有权相同。

过程 16.2︰ 禁用或删除用户帐户
 

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。

  2. 要在不删除用户帐户的情况下临时禁用该帐户,请从列表中选择该用户并单击编辑。激活禁用用户登录。再次启用该帐户之前,此用户不能登录您的计算机。

  3. 要删除用户帐户,请从列表中选择该用户并单击删除。选择您是否也要删除用户的用户主目录或是否想保留数据。

16.3 用户帐户的其他选项

 

除了默认用户帐户的设置,SUSE® Linux Enterprise Server 还提供了更多选项,例如,强制实施口令策略的选项、使用加密主目录的选项,或者为用户和组定义磁盘定额的选项。

16.3.1 自动登录和无口令登录

 

如果使用的是 GNOME 桌面环境,则可为特定用户配置自动登录,为所有用户配置无口令登录。自动登录使用户在引导时自动登录到桌面环境。一次只能为一位用户激活此功能。使用无口令登录可以让用户在登录管理器中输入其用户名后直接登录系统。

警告
警告:安全风险

在多人可以访问的计算机上启用自动登录无口令登录具有一定的安全性风险。无需身份验证,任何用户都能访问您的系统和数据。如果系统包含机密数据,请勿使用此功能。

要激活自动登录或无口令登录,请在 YaST 用户和组管理中通过专家选项 › 登录设置来访问这些功能。

16.3.2 强制实施口令策略

 

在有多个用户的系统上,最好至少强制实施基本的口令安全性策略。用户应该定期更改其口令并使用不能轻易识破的可靠口令。对于本地用户,请执行以下操作:

过程 16.3︰ 配置口令设置
 

  1. 打开 YaST 用户和组管理对话框并选择用户选项卡。

  2. 选择要更改口令选项的用户并单击编辑

  3. 切换至口令设置选项卡。用户的上次口令更改会显示在该选项卡上。

  4. 要让用户在下次登录时更改其口令,请激活强制更改口令

  5. 要实施口令转换,请设置相同口令的最大有效天数相同口令的最小有效天数

  6. 要在口令失效前提醒用户更改口令,请为口令失效前多少天发出警告设置数值。

  7. 要限制口令失效后用户可以登录的时间周期,请更改口令失效后仍可登录的天数中的值。

  8. 您也可为整个帐户指定一个特定的失效日期。输入格式为 YYYY-MM-DD失效日期。请注意,此设置与口令无关,而是应用于帐户本身。

  9. 有关选项和默认值的更多信息,请单击帮助

  10. 单击确定应用您的更改。

16.3.3 管理加密的用户主目录

 

要在失窃和硬盘被卸下的情况下保护用户主目录中的数据,可为用户创建加密的用户主目录。这些用户主目录是用 LUKS(Linux 统一密钥设置)加密的,这会为用户生成映像和映像密钥。映像密钥受用户的登录口令保护。用户登录系统时,会装入加密的用户主目录,且该用户可以使用内容。

使用 YaST 可以为新用户或现有用户创建加密的主目录。要对现有用户的用户主目录加密或修改其加密的用户主目录,需要知道该用户的当前登录口令。默认情况下,所有现有用户数据都会复制到新的加密用户主目录中,但是不会从未加密的目录中删除这些数据。

警告
警告:安全性限制

对用户主目录加密并不能对其他用户的访问进行高度安全的防御。如果需要高度安全性,则不应物理共享系统。

请在Section 12.2, “Using Encrypted Home Directories”中查找有关加密用户主目录及为了获得更强的安全性而要执行的操作的背景信息。

过程 16.4︰ 创建加密的用户主目录
 

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。

  2. 要对现有用户的用户主目录加密,请选择该用户并单击编辑

    或者,单击添加以创建新的用户帐户并在第一个选项卡上输入适当的用户数据。

  3. 细节选项卡中,激活使用加密用户主目录。使用目录大小 (MB) 指定要为该用户创建的加密映像文件的大小。

    Image

  4. 单击确定应用您的设置。

  5. 如果 YaST 提示需要用户的当前登录口令,请输入该口令以继续。

  6. 单击确定以关闭管理对话框并保存更改。

    或者,要保存所有更改且不退出用户和组管理对话框,请单击专家选项 › 立即写入更改

过程 16.5︰ 修改或禁用加密的用户主目录
 

当然,您也随时可以禁用用户主目录加密或更改映像文件的大小。

  1. 用户视图中打开 YaST 用户和组管理对话框。

  2. 在列表中选择用户并单击编辑

  3. 要禁用加密,请切换到细节选项卡并禁用使用加密的用户主目录

    如果需要增大或减小该用户的加密映像文件大小,请更改目录大小(以 MB 为单位)

  4. 单击确定应用您的设置。

  5. 如果 YaST 提示需要用户的当前登录口令,请输入该口令以继续。

  6. 单击确定以关闭管理对话框并保存更改。

    或者,要保存所有更改且不退出用户和组管理对话框,请单击专家选项 › 立即写入更改

16.3.4 管理定额

 

为了防止系统容量在没有通知的情况下耗尽,系统管理员可以为用户或组设置定额。可以为一个或多个文件系统定义定额,该定额限制可使用的磁盘空间量和可在该处创建的 inode(索引节点)数。Inode 是文件系统上储存有关普通文件、目录或其他文件系统对象的基本信息的数据结构。其会储存文件系统对象的所有属性(如:用户和组所有权、读权限、写权限或执行权限),但不会储存文件名和内容。

SUSE Linux Enterprise Server 允许使用定额。另外,可以定义宽限间隔,使用户或组可以暂时超出定额一定量。

软定额

定义一个警告级别,用于在接近限制时告知用户。管理员将会要求用户清理并减少分区上的数据。软定额限制通常低于硬定额限制。

硬定额

定义一个限制,达到此限制时拒绝写入请求。如果达到了硬定额,则不再可以储存数据,并且应用程序可能会崩溃。

宽限期

定义在超出软定额之后,经过多长时间再发出警告。通常设置为一个相当小的值,例如一小时或若干小时。

过程 16.6︰ 为分区启用定额支持
 

要为特定用户和组配置定额,需要先在 YaST 专家分区程序中为相应的分区启用定额支持。

注意
注意:定额 Btrfs 分区

Btrfs 分区的定额将以不同的方式处理。有关详细信息,请参见第 1.2.5 节 “Btrfs 子卷定额支持”

  1. 在 YaST 中,选择系统 ›  分区程序并单击以继续。

  2. 专家分区程序中,选择要启用定额的分区并单击编辑

  3. 单击 Fstab 选项并激活启用定额支持。如果 quota 包尚未安装,当您使用确认相应的消息时就会安装该包。

  4. 确认您的更改,然后离开专家分区程序

  5. 输入以下命令确保 quotaon 服务正在运行: 

    systemctl status quotaon

    它应该标记为处于 active 状态。如果情况并非如此,请使用命令 systemctl start quotaon 将它启动。

过程 16.7︰ 为用户或组设置定额
 

现在,您可以为特定用户或组设置软定额或硬定额,并可设置时间周期作为宽限间隔。

  1. 在 YaST 用户和组管理中,选择想要设置定额的用户或组并单击编辑

  2. 插件选项卡上,选择管理用户定额项,并单击起动打开定额配置对话框。

  3. 文件系统中,选择应应用定额的分区。

    Image

  4. 大小限制下,限制磁盘空间量。请输入用户或组在此分区上可拥有的大小为 1 KB 的块数。指定软限制硬限制值。

  5. 另外,也可限制用户或组在分区上可拥有的 inode 数。在 Inode 限制中,输入软限制硬限制

  6. 仅当用户或组已超出指定的大小或 inode 软限制时,才能定义宽限间隔。否则,与时间有关的文本框不会处于激活状态。指定允许用户或组超出以上设置的限制的时间周期。

  7. 单击确定确认您的设置。

  8. 单击确定以关闭管理对话框并保存更改。

    或者,要保存所有更改且不退出用户和组管理对话框,请单击专家选项 › 立即写入更改

SUSE Linux Enterprise Server 还随附了 repquotawarnquota 等命令行工具。系统管理员可以使用这些工具来控制磁盘用量,或者向超出定额的用户发送电子邮件通知。管理员也可使用 quota_nld 向 D-BUS 转发与已超出定额有关的内核讯息。有关更多信息,请参见 repquotawarnquotaquota_nld 手册页。

16.4 更改本地用户的默认设置

 

创建新的本地用户时,YaST 将使用几个默认设置。例如,这些设置包括用户所属的主组和次组或用户的用户主目录访问权限。您可以更改这些默认设置来满足要求:

  1. 打开 YaST 用户和组管理对话框并选择新用户默认值选项卡。

  2. 要更改新用户应自动归入的主组,请从默认组中选择另一个组。

  3. 要修改新用户的次组,请在次要组中添加或更改组。组名必须用逗号隔开。

  4. 如果不想使用 /home/USERNAME 作为新用户主目录的默认路径,请修改主目录的路径前缀

  5. 要更改新建用户主目录的默认许可权限模式,请调整用户主目录的权限掩码中的权限掩码值。有关权限掩码的更多信息,请参见Chapter 11, Access Control Lists in Linuxumask 手册页。

  6. 有关各个选项的信息,请单击帮助

  7. 单击确定应用您的更改。

16.5 将用户指派到组

 

根据可从用户和组管理对话框的新用户默认值选项卡中访问的默认设置,会将本地用户指派到若干个组中。通过以下内容可以了解到修改单个用户的组指派的方法。如需更改新用户的默认组指派,请参见第 16.4 节 “更改本地用户的默认设置”

过程 16.8︰ 更改用户的组指派
 

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。该选项卡会列出用户及用户所属的组。

  2. 单击编辑并切换到细节选项卡。

  3. 要更改用户所属的主组,请单击默认组并从列表中选择该组。

  4. 要将用户指派给其他次组,请在其他组列表中激活对应的复选框。

  5. 单击确定以应用您的更改。

  6. 单击确定以关闭管理对话框并保存更改。

    或者,要保存所有更改且不退出用户和组管理对话框,请单击专家选项 › 立即写入更改

16.6 管理组

 

使用 YaST 还能轻松添加、修改或删除组。

过程 16.9︰ 创建和修改组
 

  1. 打开 YaST 用户和组管理对话框并单击选项卡。

  2. 使用设置过滤器定义想要管理的组集。对话框会列出系统中的组。

  3. 要创建新组,请单击添加

  4. 要修改现有组,请选择该组并单击编辑

  5. 在以下对话框中,输入或更改数据。右侧列表显示了可以成为该组成员的所有可用用户和系统用户的概述。

    Image

  6. 要将现有用户添加到新组中,请通过选中对应的框来从可能的组成员列表中选择这些用户。要从组中去除这些用户,请停用对应的框。

  7. 单击确定以应用您的更改。

  8. 单击确定以关闭管理对话框并保存更改。

    或者,要保存所有更改且不退出用户和组管理对话框,请单击专家选项 › 立即写入更改

要删除一个组,该组中不得包含任何组成员。要删除某个组,请从列表中选择该组并单击删除。单击确定以关闭管理对话框并保存更改。或者,要保存所有更改且不退出用户和组管理对话框,请单击专家选项 › 立即写入更改

16.7 更改用户身份验证方法

 

如果计算机已连接到网络,您可以更改身份验证方法。下列选项可用:

NIS

在 NIS 服务器上对网络中的所有系统进行集中用户管理。有关细节,请参见Chapter 3, Using NIS

SSSD

系统安全服务守护程序 (SSSD) 可在本地超速缓存用户数据,并可让用户使用这些数据,即使实际目录服务(暂时)不可访问时也不例外。有关细节,请参见Section 4.3, “SSSD”

Samba

在 Linux 和 Windows 混用的网络中经常使用 SMB 身份验证。有关细节,请参见第 29 章 “Samba

要更改身份验证方法,请执行以下操作:

  1. 打开 YaST 中的用户和组管理对话框。

  2. 单击身份验证设置选项卡以显示可用身份验证方法和当前设置的概述。

  3. 要更改身份验证方法,请单击配置并选择想要修改的身份验证方法。随后您将直接转到 YaST 中的客户端配置模块。有关相应客户端配置的信息,请参见以下部分:

    NIS:: Section 3.2, “Configuring NIS Clients”

    LDAP:: Section 4.2, “Configuring an Authentication Client with YaST”

    Samba:: 第 29.5.1 节 “使用 YaST 配置 Samba 客户端”

  4. 接受配置后,请返回到用户和组管理概述。

  5. 单击确定以关闭管理对话框。