6 使用 YaST 管理用户 #
在安装期间,您可能已为系统创建了本地用户。使用 YaST 模块
可以添加用户,或编辑现有用户。它还可让您配置系统,以便在网络服务器上对用户进行身份验证。6.1 用户和组管理对话框 #
要管理用户或组,请启动 YaST 并单击sudo yast2 users &
来直接启动 对话框。
每个用户都指派有一个系统范围的用户 ID (UID)。除了可以登录到计算机的用户之外,系统还提供了几个仅供内部使用的系统用户。每位用户都会被指派到一个或多个组中。与系统用户类似,还存在仅供内部使用的系统组。
根据您在对话框中选择查看和修改的用户集(本地用户、网络用户、系统用户),主窗口会显示几个选项卡。这些选项卡可用于执行以下任务:
- 管理用户帐户
从第 6.2 节 “管理用户帐户”所述)。在第 6.3 节 “其他用户帐户选项”中了解高级选项,例如强制实施口令策略、使用加密的主目录或管理磁盘定额。
选项卡中,创建、修改、删除或临时禁用用户帐户(如- 更改默认设置
本地用户帐户是根据第 6.4 节 “更改本地用户的默认设置”可以了解到如何更改默认组指派或用户主目录的默认路径和访问权限。
选项卡中定义的设置创建的。通过- 将用户指派到组
通过第 6.5 节 “将用户指派到组”可以了解到如何为单个用户更改组指派。
- 管理组
从第 6.6 节 “管理组”以获取有关如何进行此操作的信息。
选项卡中,可以添加、修改或删除现有组。请参见- 更改用户身份验证方法
如果您的计算机已连接到提供了 NIS 或 LDAP 之类的用户身份验证方法的网络上,您可以在第 6.7 节 “更改用户身份验证方法”。
选项卡上的若干身份验证方法中进行选择。有关详细信息,请参见
对于用户和组管理,此对话框提供了类似的功能。通过在此对话框顶部选择适当的选项卡可以轻松地在用户和组管理视图间切换。
使用过滤器选项可定义要修改的一组用户或组:在
或 选项卡上,单击 以查看和编辑用户或组。系统会根据 或 等特定类别(如果适用)列出用户或组。通过 › ,您也可以设置和使用自定义过滤器。此对话框可能并未提供以下所有选项和功能,具体取决于所选的过滤器。
6.2 管理用户帐户 #
YaST 可让您创建、修改、删除或暂时禁用用户帐户。除非您是有经验的用户或管理员,否则不要修改用户帐户。
文件所有权与用户 ID,而非用户名绑定在一起。用户 ID 更改后,此用户的用户主目录中的文件会自动调整,以反映出此更改。但是,ID 更改后,此用户就不再拥有其在文件系统的其他位置创建的文件的所有权,除非手动更改这些文件的所有权。
通过以下内容可以了解到如何设置默认用户帐户。有关其他选项,请参见第 6.3 节 “其他用户帐户选项”。
打开 YaST
对话框并单击 选项卡。使用
定义要管理的用户集。对话框中会列出系统中的用户以及用户所属的组。要修改现有用户选项,请选择某一条目并单击
。要创建新的用户帐户,请单击
。在第个张选项卡上输入合适的用户数据,如
(用于登录)和 。这些数据足以创建新用户。如果此时单击 ,系统将自动指派用户 ID 并将根据默认值设置所有其他值。若要将任何类型的系统通知都递送到该用户的邮箱中,请激活
。这样,就会为root
创建邮件别名,用户无需先以root
身份登录便可阅读系统邮件。系统服务发送的邮件储存在本地邮箱
/var/spool/mail/
USERNAME 中,其中 USERNAME 是所选用户的登录名。要阅读电子邮件,可以使用mail
命令。要调整其他细节(如用户 ID 或用户主目录的路径),可在
选项卡上进行。如果需要重新定位现有用户的用户主目录,请在该选项卡中输入新的用户主目录路径,并使用
移动当前用户主目录的内容。否则,不会使用任何的现有数据来创建新的用户主目录。要强制用户以常规方式更改口令或设置其他口令选项,请切换到第 6.3.2 节 “强制实施口令策略”。
并调整选项。有关详细信息,请参考如果已按照需要设置了所有选项,请单击
。单击
以关闭管理对话框并保存更改。此时,新添加的用户可以使用您创建的登录名和口令登录系统。或者,要保存所有更改且不退出
对话框,请单击 › 。
将(本地)用户 ID 与网络中的 ID 进行匹配会很有用。例如,应该将便携式计算机上的新(本地)用户集成到包含相同用户 ID 的网络环境中。这样可确保用户“脱机”创建的文件的所有权和其直接在网络上创建的文件的所有权相同。
打开 YaST
对话框并单击 选项卡。要在不删除用户帐户的情况下临时禁用该帐户,请从列表中选择该用户并单击
。激活 。再次启用该帐户之前,此用户不能登录您的计算机。要删除用户帐户,请从列表中选择该用户并单击
。选择您是要删除用户的主目录还是保留该数据。
6.3 其他用户帐户选项 #
除了默认用户帐户的设置外,SUSE® Linux Enterprise Server 还提供了其他选项。例如,用于强制实施口令策略、使用加密的主目录,或者为用户和组定义磁盘定额的选项。
6.3.1 自动登录和无口令登录 #
如果使用的是 GNOME 桌面环境,则可为特定用户配置自动登录,为所有用户配置无口令登录。自动登录使用户在引导时自动登录到桌面环境。一次只能为一位用户激活此功能。使用无口令登录可以让用户在登录管理器中输入其用户名后直接登录系统。
在多人可以访问的计算机上启用自动登录或无口令登录具有一定的安全性风险。无需身份验证,任何用户都能访问您的系统和数据。如果系统包含机密数据,请勿使用此功能。
要激活自动登录或无口令登录,请通过 YaST
中的 › 来访问这些功能。6.3.2 强制实施口令策略 #
在有多个用户的系统上,最好至少强制实施基本的口令安全性策略。用户应该定期更改其口令并使用不能轻易识破的可靠口令。对于本地用户,请执行以下操作:
打开 YaST
对话框并选择 选项卡。选择要更改口令选项的用户并单击
。切换至
选项卡。用户的上次口令更改会显示在该选项卡上。要让用户在下次登录时更改其密码,请激活
。要实施口令转换,请设置
和 。要在口令失效前提醒用户更改口令,请为
设置数值。要限制密码失效后用户可以登录的时间周期,请更改
中的值。您也可为整个帐户指定一个特定的失效日期。输入格式为 YYYY-MM-DD 的
。请注意,此设置与口令无关,而是应用于帐户本身。有关选项和默认值的更多信息,请单击
。单击
应用您的更改。
6.3.3 管理定额 #
为了防止系统容量在没有通知的情况下耗尽,系统管理员可以为用户或组设置定额。可以为一个或多个文件系统定义定额,该定额限制可使用的磁盘空间量和可在该处创建的 inode(索引节点)数。Inode 是文件系统上储存有关普通文件、目录或其他文件系统对象的基本信息的数据结构。其会储存文件系统对象的所有属性(如:用户和组所有权、读权限、写权限或执行权限),但不会储存文件名和内容。
SUSE Linux Enterprise Server 允许使用软
和硬
定额。另外,可以定义宽限间隔,使用户或组可以暂时超出定额一定量。
- 软定额
定义一个警告级别,用于在接近限制时告知用户。管理员将会要求用户清理并减少分区上的数据。软定额限制通常低于硬定额限制。
- 硬定额
定义一个限制,达到此限制时拒绝写入请求。如果达到了硬定额,则不再可以储存数据,并且应用程序可能会崩溃。
- 宽限期
定义在超出软定额之后,经过多长时间再发出警告。通常设置为一个相当小的值,例如一小时或若干小时。
要为特定用户和组配置定额,需要先在 YaST 专家分区程序中为相应的分区启用定额支持。
Btrfs 分区的定额将以不同的方式处理。有关详细信息,请参见 第 1.2.5 节 “Btrfs 子卷定额支持”。
在 YaST 中,选择
› 并单击 以继续。在
中,选择要启用定额的分区并单击 。单击
并激活 。如果尚未安装quota
软件包,当您单击 确认相应的讯息时,系统就会安装该软件包。确认您的更改,然后离开
。输入以下命令确保
quotaon
服务正在运行:>
sudo
systemctl status quotaon.service它应该标记为处于
active
状态。如果情况并非如此,请使用命令systemctl start quotaon.service
启动该服务。
现在,您可以为特定用户或组设置软定额或硬定额,并可设置时间周期作为宽限间隔。
在 YaST
中,选择想要设置定额的用户或组并单击 。在
选项卡上,选择 项,并单击 打开 对话框。从
中,选择应应用定额的分区。在
下,限制磁盘空间量。请输入用户或组在此分区上可拥有的大小为 1 KB 的块数。指定 和 值。另外,也可限制用户或组在分区上可拥有的 inode 数。在
中,输入 和仅当用户或组已超出指定的大小或 inode 软限制时,才能定义宽限间隔。否则,与时间有关的文本框不会处于激活状态。指定允许用户或组超出以上设置的限制的时间周期。
单击
确认您的设置。单击
以关闭管理对话框并保存更改。或者,要保存所有更改且不退出
对话框,请单击 › 。
SUSE Linux Enterprise Server 还随附了 repquota
或 warnquota
等命令行工具。系统管理员可以使用这些工具来控制磁盘用量,或者向超出定额的用户发送电子邮件通知。管理员也可使用 quota_nld
向 D-BUS 转发与已超出定额有关的内核讯息。有关更多信息,请参见 repquota
、warnquota
和 quota_nld
手册页。
6.4 更改本地用户的默认设置 #
创建新的本地用户时,YaST 将使用几个默认设置。例如,这些设置包括用户所属的主组和次组或用户的用户主目录访问权限。您可以更改这些默认设置来满足要求:
打开 YaST
对话框并选择 选项卡。要更改新用户应自动归入的主组,请从
中选择另一个组。要修改新用户的次组,请在
中添加或更改组。组名必须用逗号隔开。如果不想使用
/home/USERNAME
作为新用户主目录的默认路径,请修改 。要更改新建用户主目录的默认许可权限模式,请调整第 20 章 “Linux 中的访问控制列表”和
中的权限掩码值。有关权限掩码的更多信息,请参见umask
手册页。有关各个选项的信息,请单击
。单击
应用您的更改。
6.5 将用户指派到组 #
系统会根据您可从第 6.4 节 “更改本地用户的默认设置”。
对话框中 选项卡内访问的默认设置,将本地用户指派给数个组。通过以下内容可以了解到修改单个用户的组指派的方法。如需更改新用户的默认组指派,请参见打开 YaST
对话框并单击 选项卡。该选项卡会列出用户及用户所属的组。单击
并切换到 选项卡。要更改用户所属的主组,请单击
并从列表中选择该组。要将用户指派给其他次组,请在
列表中激活对应的复选框。单击
以应用您的更改。单击
以关闭管理对话框并保存更改。或者,要保存所有更改且不退出
对话框,请单击 › 。
6.6 管理组 #
使用 YaST 还能轻松添加、修改或删除组。
要删除一个组,该组中不得包含任何组成员。要删除某个组,请从列表中选择该组并单击
。单击 以关闭管理对话框并保存更改。或者,要保存所有更改且不退出 对话框,请单击 › 。6.7 更改用户身份验证方法 #
如果计算机已连接到网络,您可以更改身份验证方法。下列选项可用:
- NIS
在 NIS 服务器上对网络中的所有系统进行集中用户管理。有关详细信息,请参见第 4 章 “使用 NIS”。
- SSSD
系统安全服务守护程序 (SSSD) 可在本地缓存用户数据,并可让用户使用这些数据,即使实际目录服务(暂时)不可访问时也不例外。有关详细信息,请参见第 5.2 节 “SSSD”。
- Samba
在 Linux 和 Windows 混用的网络中经常使用 SMB 身份验证。有关详细信息,请参见 第 20 章 “Samba” .
要更改身份验证方法,请执行以下操作:
打开 YaST 中的
对话框。单击
选项卡以显示可用身份验证方法和当前设置的概述。要更改身份验证方法,请单击
并选择想要修改的身份验证方法。随后您将直接转到 YaST 中的客户端配置模块。有关相应客户端配置的信息,请参见以下部分:NIS:: 第 4.2 节 “配置 NIS 客户端”
LDAP: 第 5.1 节 “使用 YaST 配置身份验证客户端”
Samba: 第 20.5.1 节 “使用 YaST 配置 Samba 客户端”
SSSD: 第 5.2 节 “SSSD”
接受配置后,请返回到
概述。单击
以关闭管理对话框。
6.8 默认系统用户 #
SUSE Linux Enterprise Server 默认会创建一些不可删除的用户名。通常在 Linux Standard Base 中定义这些用户。下面的列表提供了常见用户名及其用途:
bin
,daemon
旧式用户,为了与旧式应用程序兼容而提供。新式应用程序应该不再使用此用户名。
gdm
GNOME 显示管理器守护程序 (GDM) 使用此用户名来提供图形登录,以及管理本地和远程显示内容。
lp
由通用 Unix 打印系统 (CUPS) 的打印机守护程序使用。
mail
为
sendmail
或postfix
等邮件程序保留的用户。man
由 man 用来访问手册页。
messagebus
用于访问 D-Bus(桌面总线,用于进程间通讯的软件总线)。守护程序是
dbus-daemon
。nobody
不拥有任何文件且属于无权限组的用户。目前,其用途有限,因为 Linux Standard Base 建议为每个守护程序提供单独的用户帐户。
nscd
由名称服务缓存守护程序使用。此守护程序是用于改善 NIS 和 LDAP 性能的查找服务。守护程序是
nscd
。polkitd
由 PolicyKit 授权框架(用于定义和处理非特权进程的授权请求)使用。守护程序是
polkitd
。postfix
由 Postfix 邮件程序使用。
pulse
由 Pulseaudio 声音服务器使用。
root
由提供所有适当权限的系统管理员使用。
rpc
由
rpcbind
命令(RPC 端口映射器)使用。rtkit
由提供 D-Bus 系统服务以实现实时调度模式的 rtkit 软件包使用。
salt
Salt 提供的并行远程执行的用户。守护程序名为
salt-master
。scard
用于与智能卡和读卡器通讯的用户。守护程序名为
pcscd
。srvGeoClue
GeoClue D-Bus 服务使用它来提供位置信息。
sshd
安全外壳守护程序 (SSH) 使用它来确保在非安全网络上进行安全的加密通讯。
statd
rpc.statd
守护程序中实施的网络状态监视协议 (NSM) 使用它来侦听重引导通知。systemd-coredump
/usr/lib/systemd/systemd-coredump
命令使用它来获取、保存和处理核心转储。systemd-timesync
/usr/lib/systemd/systemd-timesyncd
命令使用它将本地系统时钟与远程网络时间协议 (NTP) 服务器同步。