適用範圍 SUSE Linux Enterprise Server 12 SP5

16 使用 YaST 管理使用者 #

在安裝期間，您可能為系統建立了本地使用者。使用 YaST 模組使用者和群組管理可以新增更多使用者，或編輯現有使用者。它還可讓您設定系統，以在網路伺服器上驗證使用者。

16.1 使用者及群組管理對話方塊 #

若要管理使用者或群組，請啟動 YaST，然後按一下安全性與使用者 › 使用者和群組管理。此外，還可以從指令行執行 sudo yast2 users & 直接啟動使用者和群組管理對話方塊。

圖 16.1︰ YaST 使用者和群組管理 #

每位使用者都被指定了全系統使用者 ID (UID)。除了可以登入機器的使用者以外，系統還提供了許多系統使用者供內部使用。系統會將每個使用者指定給一或多個群組。類似於「系統使用者」，系統還提供了「系統群組」供內部使用。

視您選擇要使用對話方塊檢視和修改的一組使用者 (本地使用者、網路使用者、系統使用者) 而定，主視窗將顯示幾個索引標籤。使用它們可以執行以下任務︰

管理使用者帳戶: 從使用者索引標籤中，建立、修改、刪除或暫時停用使用者帳戶，如第 16.2 節「管理使用者帳戶」所述。在第 16.3 節「使用者帳戶的其他選項」中瞭解進階選項，例如強制執行密碼規則、使用加密的主目錄或管理磁碟配額。
變更預設設定: 系統會根據在新使用者的預設值索引標籤上定義的設定建立本地使用者帳戶。在第 16.4 節「變更本地使用者的預設設定」中瞭解如何變更指定的預設群組，或主目錄的預設路徑及存取許可權。
將使用者指定給群組: 在第 16.5 節「將使用者指定給群組」中瞭解如何變更為個別使用者指定的群組。
管理群組: 在群組索引標籤中，您可以新增、修改或刪除現有的群組。有關如何執行此操作的資訊，請參閱第 16.6 節「管理群組」。
變更使用者驗證方式: 機器連接到提供 NIS 或 LDAP 等使用者驗證方式的網路時，您可以在驗證設定索引標籤上的多種驗證方式中進行選擇。若需更多資訊，請參考第 16.7 節「變更使用者驗證方式」。

對於使用者及群組管理，對話方塊提供了類似的功能。透過在對話方塊頂部選擇對應的索引標籤，可以輕鬆地在使用者與群組管理檢視窗之間切換。

使用過濾器選項可以定義要修改的一組使用者或群組︰在使用者或群組索引標籤上，按一下設定過濾器以根據特定類別檢視和編輯使用者或群組，例如本地使用者或 LDAP 使用者 (如果您位於使用 LDAP 的網路中)。透過設定過濾器 › 自訂過濾器，您還可以設定和使用自訂過濾器。

在該對話方塊中，並不是下列所有選項和功能都可用，具體取決於您選擇的過濾器。

16.2 管理使用者帳戶 #

YaST 提供建立、修改、刪除或暫時停用使用者帳戶等功能。請勿修改使用者帳戶，除非您是有經驗的使用者或管理員。

注意：變更現有使用者的使用者 ID

檔案擁有權與使用者 ID 而非使用者名稱繫結。變更使用者 ID 後，使用者主目錄中的檔案會自動調整以反映此變更。但變更 ID 後，使用者不再擁有他在檔案系統中的其他位置建立的檔案，除非您手動修改那些檔案的檔案擁有權。

下文說明了如何設定預設使用者帳戶。關於其他選項，請參閱第 16.3 節「使用者帳戶的其他選項」。

程序 16.1︰新增或修改使用者帳戶 #

開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。
使用設定過濾器定義要管理的一組使用者。對話方塊將列出系統中的使用者以及使用者隸屬的群組。
若要修改現有使用者的選項，請選取項目，然後按一下編輯。
若要建立新的使用者帳戶，請按一下新增。
在第一個索引標籤上輸入適當的使用者資料，例如使用者名稱(用於登入) 和密碼。此資料已足可建立新使用者。若現在按一下確定，系統將根據預設值自動指定使用者 ID 並設定所有其他值。
如果您要將任何類型的系統通知傳送到此使用者的信箱，請啟動接收系統郵件。隨即會為 root 建立郵件別名，並且該使用者無需先以 root 身分登入便可以讀取系統郵件。
系統服務傳送的郵件儲存在本地信箱 /var/spool/mail/USERNAME 中，其中，USERNAME 是所選使用者的登入名稱。若要閱讀電子郵件，可以使用 mail 指令。
若要進一步調整詳細資料 (例如使用者 ID 或使用者主目錄的路徑)，可以在詳細資料索引標籤中進行。
如果您需要重設現有使用者的主目錄，請在該處輸入新主目錄的路徑，然後使用移動到新位置移動目前主目錄的內容。否則，將會建立不含任何現有資料的新主目錄。
要強制使用者定期變更其密碼或設定其他密碼選項，請切換到密碼設定並調整選項。如需詳細資訊，請參閱第 16.3.2 節「強制執行密碼規則」。
視需要設定所有選項之後，按一下確定。
按一下確定關閉管理對話方塊並儲存變更。現在，新增的使用者便可使用您建立的登入名稱和密碼登入系統。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

提示：比對使用者 ID

若筆記型電腦上新的 (本地) 使用者在某個網路環境中已擁有使用者 ID，要將其整合到該網路環境中時，比對 (本地) 使用者 ID 與網路中的 ID 會非常有用。這樣可確保使用者「離線」所建檔案與在網路上直接建立之檔案的檔案擁有權相同。

程序 16.2︰停用或刪除使用者帳戶 #

開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。
若要暫時停用使用者帳戶而不將其刪除，請從清單中選取該使用者，然後按一下編輯。啟用停用使用者登入。您再次啟用該帳戶之前，使用者將一直無法登入機器。
若要刪除使用者帳戶，請從清單中選取該使用者，然後按一下刪除。選擇是否還要刪除使用者的主目錄，或者是否要保留資料。

16.3 使用者帳戶的其他選項 #

除了預設使用者帳戶的設定以外，SUSE® Linux Enterprise Server 還提供了其他選項，例如用於強制執行密碼規則、使用加密的主目錄或定義使用者和群組的磁碟配額的選項。

16.3.1 自動登入和無密碼登入 #

如果您使用的是 GNOME 桌面環境，則可以為特定使用者設定自動登入，為所有使用者設定無密碼登入。自動登入會讓使用者在開機時自動登入桌面環境。一次只能對一個使用者啟用此功能。使用無密碼登入可以讓使用者在登入管理員中輸入其使用者名稱後直接登入系統。

警告：安全性風險

在多人可以存取的機器上啟用自動登入或無密碼登入會有安全性風險。所有使用者無須驗證即可存取您的系統和資料。如果您的系統含有機密資料，則請勿使用此功能。

若要啟用自動登入或無密碼登入，可透過 YaST 使用者和群組管理中的進階選項 › 登入設定來存取這些功能。

16.3.2 強制執行密碼規則 #

在任何擁有多個使用者的系統上，若能至少強制執行基本的密碼安全性規則，是個不錯的作法。使用者應定期變更密碼，並應使用增強式密碼，因為此種密碼無法輕易破解。對於本地使用者，請按照下列步驟進行︰

程序 16.3︰設定密碼設定 #

開啟 YaST 的使用者和群組管理對話方塊並選取使用者索引標籤。
選取要為其變更密碼選項的使用者，然後按一下編輯。
切換到密碼設定索引標籤。該索引標籤上會顯示使用者上次的密碼變更。
若要讓使用者在下次登入時變更其密碼，請啟用強制密碼變更。
若要強制密碼輪用，請設定相同密碼最多可使用天數和相同密碼最少可使用天數。
若要提醒使用者在其密碼過期之前變更密碼，請設定密碼過期前發出警告的天數。
若要限制使用者在其密碼過期後可以登入的期限，請變更密碼過期後仍可登入的天數中的值。
您還可以為整個帳戶指定特定的過期日期。以 YYYY-MM-DD 格式輸入過期日。請注意，此設定與密碼不相關，而是套用至帳戶自身。
如需關於選項和預設值的詳細資訊，請按一下說明。
按一下確定套用您的變更。

16.3.3 管理加密的主目錄 #

若要保護主目錄中的資料不致遭到竊取或徹底移除，您可以為使用者建立加密的主目錄。這些主目錄使用 LUKS (Linux Unified Key Setup) 加密，會為使用者產生影像以及影像金鑰。複本金鑰受到使用者登入密碼保護。使用者登入系統時，就會裝載加密的主目錄，並且可以使用其中的內容。

透過 YaST，您可為新使用者或現有使用者建立加密的主目錄。若要加密現有使用者的主目錄或修改加密的主目錄，您必須知道使用者目前的登入密碼。預設會將所有現有的使用者資料複製到新的加密主目錄，但不會從未加密的目錄中將其刪除。

警告：安全性限制

加密使用者的主目錄並不會強化對於其他使用者的安全性。若需要高度安全性，則不應共享實體系統。

如需加密主目錄和用於增強安全性的動作的背景資訊，請參閱Section 12.2, “Using Encrypted Home Directories”。

程序 16.4︰建立加密的主目錄 #

開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。
若要加密現有使用者的主目錄，請選取該使用者並按一下編輯。
否則，請按一下新增建立新的使用者帳戶，然後在第一個索引標籤上輸入適當的使用者資料。
啟用詳細資料索引標籤中的使用加密的主目錄。使用目錄大小的 MB 數指定要為此使用者建立之加密影像檔的大小。
按一下確定套用您的設定。
如果 YaST 提示輸入使用者目前的登入密碼，請輸入該密碼以繼續。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

程序 16.5︰修改或停用加密的主目錄 #

當然，您也可以隨時停用對主目錄的加密或變更影像檔的大小。

在使用者檢視窗中開啟 YaST 的使用者和群組管理對話方塊。
請在清單中選取使用者，然後按一下編輯。
若要停用加密，請切換到詳細資料索引標籤並停用使用加密的主目錄。
如果您需要為此使用者增大或減小加密影像檔的大小，請變更目錄大小的 MB 數。
按一下確定套用您的設定。
如果 YaST 提示輸入使用者目前的登入密碼，請輸入該密碼以繼續。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

16.3.4 管理配額 #

為避免出現事先未通知系統容量即用盡的情況，系統管理員可以為使用者或群組設定配額。配額可以針對一或多個檔案系統定義，並限制可以使用的磁碟空間容量以及可在其中建立的 inode (索引節點) 數量。Inode 是檔案系統上的資料結構，用於儲存關於一般檔案、目錄或其他檔案系統物件的基本資訊。它們會儲存檔案系統物件的所有屬性 (例如使用者和群組擁有權、讀取、寫入或執行許可權)，檔案名稱和內容除外。

SUSE Linux Enterprise Server 允許使用軟配額和硬配額。此外，可以定義寬限間隔，允許使用者或群組在一定數量範圍內暫時違反其配額。

軟配額: 定義一個警告層級，達到此層級時，將告知使用者他們即將超過限制。管理員將會催促使用者清理並減少分割區上的資料。軟配額限制通常低於硬配額限制。
硬配額: 定義拒絕寫入請求之前所要達到的限制。如果達到了硬配額，則不再可以儲存資料，並且應用程式可能會當機。
寬限期間: 定義在超出軟配額之後，經過多長時間再發出警告。通常設定為一個相當小的值，例如一小時或數小時。

程序 16.6︰對分割區啟用配額支援 #

若要為特定使用者和群組設定配額，您需要先在 YaST 進階磁碟分割程式中對相應的分割區啟用配額支援。

注意：配額 Btrfs 分割區

Btrfs 分割區的配額將以不同的方式處理。如需詳細資訊，請參閱第 1.2.5 節「Btrfs 子磁碟區配額支援」。

在 YaST 中，選取系統 › 磁碟分割程式，然後按一下是以繼續。
在進階磁碟分割程式中，選取要對其啟用配額的分割區，然後按一下編輯。
按一下Fstab 選項並啟用啟用配額支援。如果 quota 套件尚未安裝，則您按一下是確認相應的訊息後即會將其安裝。
確認變更並離開進階磁碟分割程式。
輸入以下指令以確定 quotaon 服務正在執行︰
```
systemctl status quotaon
```
它應該標示為處於 active 狀態。若情況並非如此，請使用指令 systemctl start quotaon 將其啟動。

程序 16.7︰為使用者或群組設定配額 #

現在，您可以為特定使用者或群組定義軟配額或硬配額，並設定做為寬限間隔的期間。

在 YaST 的使用者和群組管理中，選取要為其設定配額的使用者或群組，然後按一下編輯。
在外掛程式索引標籤中，選取管理使用者配額項目，然後按一下啟動開啟配額組態對話方塊。
從檔案系統中，選取要為其套用配額的分割區。
在大小限制下面，限制磁碟空間的容量。輸入使用者或群組在此分割區上可使用的 1 KB 區塊數。指定軟限制和硬限制的值。
此外，您還可以限制使用者或群組在分割區上可擁有的 inode 數。在Inode 限制下面，輸入軟限制和硬限制。
只有在使用者或群組已經超過指定的大小或 inode 軟限制後，您才可以定義寬限間隔。否則，與時間相關的文字方塊將處於未啟用狀態。指定允許使用者或群組超過上述所設限制的期間。
以確定確認您的設定值。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

SUSE Linux Enterprise Server 還隨附了 repquota 或 warnquota 等指令行工具。系統管理員可以使用這些工具來控制磁碟使用量，或者向超出定額的使用者傳送電子郵件通知。管理員還可以使用 quota_nld，將有關超出定額的核心訊息轉遞給 D-BUS。如需詳細資訊，請參閱 repquota、warnquota 和 quota_nld 的 man 頁面。

16.4 變更本地使用者的預設設定 #

建立新的本地使用者時，YaST 會使用幾個預設設定。舉例來說，預設設定包括使用者所屬的主要群組和次要群組，或使用者主目錄的存取許可權。您可以變更這些預設設定來符合自身需求。

開啟 YaST 的使用者和群組管理對話方塊並選取新使用者的預設值索引標籤。
若要變更新使用者應自動隸屬的主要群組，請從預設群組中選取另一個群組。
若要修改新使用者的次要群組，請在次要群組中新增或變更群組。群組名稱必須以逗號隔開。
如果您不想使用 /home/USERNAME 做為新使用者主目錄的預設路徑，請修改主目錄的路徑字首。
若要變更新建立之主目錄的預設許可模式，請在主目錄的 Umask中調整 Umask 值。如需 Umask 的詳細資訊，請參閱Chapter 11, Access Control Lists in Linux 和 Umask man 頁面。
如需關於各選項的資訊，請按一下說明。
按一下確定套用您的變更。

16.5 將使用者指定給群組 #

系統會根據您可從使用者及群組管理對話方塊的新使用者的預設值索引標籤中存取的預設設定，將本地使用者指定給幾個群組。下面說明了如何修改為個別使用者指定的群組。如果您需要變更新為使用者預設指定的群組，請參閱第 16.4 節「變更本地使用者的預設設定」。

程序 16.8︰變更為使用者指定的群組 #

開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。該索引標籤將列出使用者以及使用者隸屬的群組。
按一下編輯並切換到詳細資料索引標籤。
若要變更使用者隸屬的主要群組，請按一下預設群組，然後從清單中選取群組。
若要為使用者指定其他次要群組，請啟用其他群組清單中對應的核取方塊。
按一下確定套用您的變更。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

16.6 管理群組 #

使用 YaST 還可以輕鬆地新增、修改或刪除群組。

程序 16.9︰建立和修改群組 #

開啟 YaST 的使用者和群組管理對話方塊並按一下群組索引標籤。
使用設定過濾器定義要管理的一組群組。對話方塊將列出系統中的群組。
若要建立新的群組，請按一下新增。
若要修改現有的群組，請選取群組，然後按一下編輯。
在下面的對話方塊中，輸入或變更資料。右側的清單顯示可以做為群組成員的所有可用使用者和系統使用者的綜覽。
若要將現有的使用者新增到新群組，請在可用群組成員的清單中核取對應的方塊選取使用者。若要從群組中移除使用者，請停用方塊。
按一下確定套用您的變更。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

若要刪除群組，則它不能包含任何群組成員。若要刪除群組，請從清單中選取群組，然後按一下刪除。按一下確定關閉管理對話方塊並儲存變更。或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

16.7 變更使用者驗證方式 #

機器連接到網路時，您可以變更驗證方式。下列選項可供使用︰

NIS: 在 NIS 伺服器上集中管理網路中所有系統的使用者。如需詳細資料，請參閱Chapter 3, Using NIS。
SSSD: 系統安全性服務精靈 (SSSD) 可在本地快取使用者資料，並可讓使用者使用這些資料，即使實際目錄服務 (暫時) 無法連接也不例外。如需詳細資料，請參閱Section 4.3, “SSSD”。
Samba: Linux 與 Windows 混合網路中常使用 SMB 驗證。如需詳細資料，請參閱第 29 章「Samba」。

若要變更驗證方式，請按照下列步驟進行︰

在 YaST 中開啟使用者和群組管理對話方塊。
按一下驗證設定索引標籤，顯示可用驗證方式和目前設定的綜覽。
若要變更驗證方式，請按一下設定並選取要修改的驗證方式。此動作會將您直接轉到 YaST 中的用戶端組態模組。如需設定適當用戶端的相關資訊，請參閱以下幾節︰
NIS︰： Section 3.2, “Configuring NIS Clients”
LDAP︰： Section 4.2, “Configuring an Authentication Client with YaST”
Samba︰：第 29.5.1 節「使用 YaST 設定 Samba 用戶端」
接受組態後，返回使用者及群組管理綜覽。
按一下確定，關閉管理對話方塊。