22 使用 YaST 管理使用者 #
在安裝期間,您可能為系統建立了本地使用者。使用 YaST 模組
可以新增使用者,或編輯現有使用者。它還可讓您設定系統,以在網路伺服器上驗證使用者。22.1 使用者及群組管理對話方塊 #
若要管理使用者或群組,請啟動 YaST,然後按一下sudo yast2 users &
直接啟動 對話方塊。
每位使用者都被指定了全系統使用者 ID (UID)。除了可以登入機器的使用者以外,系統還提供了許多系統使用者供內部使用。系統會將每個使用者指定給一或多個群組。類似於「系統使用者」,系統還提供了「系統群組」供內部使用。
視您選擇要使用對話方塊檢視和修改的一組使用者 (本地使用者、網路使用者、系統使用者) 而定,主視窗將顯示幾個索引標籤。使用它們可以執行以下任務:
- 管理使用者帳戶
從第 22.2 節 「管理使用者帳戶」 所述。在第 22.3 節 「使用者帳戶的其他選項」中瞭解進階選項,例如強制執行密碼規則、使用加密的主目錄或管理磁碟配額。
索引標籤中,建立、修改、刪除或暫時停用使用者帳戶,如- 變更預設設定
系統會根據在第 22.4 節 「變更本地使用者的預設設定」 中瞭解如何變更指定的預設群組,或主目錄的預設路徑及存取許可權。
索引標籤上定義的設定建立本地使用者帳戶。在- 將使用者指定給群組
在第 22.5 節 「將使用者指定給群組」 中瞭解如何變更為個別使用者指定的群組。
- 管理群組
- 索引標籤中,您可以新增、修改或刪除現有的群組。有關如何執行此操作的資訊,請參閱
- 變更使用者驗證方式
機器連接到提供 NIS 或 LDAP 等使用者驗證方式的網路時,您可以在第 22.7 節 「變更使用者驗證方式」。
索引標籤上的多種驗證方式中進行選擇。若需更多資訊,請參考
對於使用者及群組管理,對話方塊提供了類似的功能。透過在對話方塊頂部選擇對應的索引標籤,可以輕鬆地在使用者與群組管理檢視窗之間切換。
使用過濾器選項可以定義要修改的一組使用者或群組:在
或 索引標籤上,按一下 ,以檢視和編輯使用者或群組。系統會根據 或 等特定類別 (如果適用) 列出使用者或群組。透過 › ,您還可以設定和使用自訂過濾器。在該對話方塊中,並不是下列所有選項和功能都可用,具體取決於您選擇的過濾器。
22.2 管理使用者帳戶 #
YaST 能夠建立、修改、刪除或暫時停用使用者帳戶。請勿修改使用者帳戶,除非您是有經驗的使用者或管理員。
檔案擁有權與使用者 ID 而非使用者名稱繫結。變更使用者 ID 後,使用者主目錄中的檔案會自動調整以反映此變更。但變更 ID 後,使用者不再擁有他們在檔案系統中其他位置建立的檔案,除非您手動修改那些檔案的檔案擁有權。
下文說明了如何設定預設使用者帳戶。關於其他選項,請參閱第 22.3 節 「使用者帳戶的其他選項」。
開啟 YaST 的
對話方塊並按一下 索引標籤。使用
定義要管理的一組使用者。對話方塊將列出系統中的使用者以及使用者隸屬的群組。若要修改現有使用者的選項,請選取項目,然後按一下
。若要建立新的使用者帳戶,請按一下
。在第一個索引標籤上輸入適當的使用者資料,例如
(用於登入) 和 。此資料已足可建立新使用者。若現在按一下 ,系統將根據預設值自動指定使用者 ID 並設定所有其他值。如果您要將任何類型的系統通知傳送到此使用者的信箱,請啟動
。隨即會為root
建立郵件別名,並且該使用者無需先以root
身分登入便可以讀取系統郵件。系統服務傳送的郵件儲存在本地信箱
/var/spool/mail/
USERNAME 中,其中,USERNAME 是所選使用者的登入名稱。若要閱讀電子郵件,可以使用mail
指令。若要進一步調整詳細資料 (例如使用者 ID 或使用者主目錄的路徑),可以在
索引標籤中進行。如果您需要重設現有使用者的主目錄,請在該處輸入新主目錄的路徑,然後使用
移動目前主目錄的內容。否則,將會建立不含任何現有資料的新主目錄。要強制使用者定期變更其密碼或設定其他密碼選項,請切換到第 22.3.2 節 「強制執行密碼規則」。
並調整選項。如需詳細資訊,請參閱視需要設定所有選項之後,按一下
。按一下
關閉管理對話方塊並儲存變更。現在,新增的使用者便可使用您建立的登入名稱和密碼登入系統。或者,若要儲存所有變更且不離開
對話方塊,請按一下 › 。
將 (本地) 使用者 ID 與網路中的 ID 進行對比會很有用。例如,應該將筆記型電腦上的新 (本地) 使用者整合到包含相同使用者 ID 的網路環境中。如此可確定使用者「離線」所建檔案與在網路上直接建立之檔案的檔案擁有權相同。
開啟 YaST 的
對話方塊並按一下 索引標籤。若要暫時停用使用者帳戶而不將其刪除,請從清單中選取該使用者,然後按一下
。啟用 。您再次啟用該帳戶之前,使用者將一直無法登入機器。若要刪除使用者帳戶,請從清單中選取該使用者,然後按一下
。選擇您是要刪除使用者的主目錄,還是要保留該資料。
22.3 使用者帳戶的其他選項 #
除了預設使用者帳戶的設定外,SUSE® Linux Enterprise Server 還提供了其他選項。例如,用於強制執行密碼規則、使用加密的主目錄,或者為使用者和群組定義磁碟定額的選項。
22.3.1 自動登入和無密碼登入 #
如果您使用的是 GNOME 桌面環境,則可以為特定使用者設定自動登入,為所有使用者設定無密碼登入。自動登入會讓使用者在開機時自動登入桌面環境。一次只能對一個使用者啟用此功能。使用無密碼登入可以讓使用者在登入管理員中輸入其使用者名稱後直接登入系統。
在多人可以存取的機器上啟用自動登入或無密碼登入會有安全性風險。所有使用者無須驗證即可存取您的系統和資料。如果您的系統含有機密資料,則請勿使用此功能。
若要啟用自動登入或無密碼登入,可透過 YaST
中的 › 來存取這些功能。22.3.2 強制執行密碼規則 #
在任何擁有多個使用者的系統上,若能至少強制執行基本的密碼安全性規則,是個不錯的作法。使用者應定期變更密碼,並應使用增強式密碼,因為此種密碼無法輕易破解。對於本地使用者,請按照下列步驟進行:
開啟 YaST 的
對話方塊並選取 索引標籤。選取要為其變更密碼選項的使用者,然後按一下
。切換到
索引標籤。該索引標籤上會顯示使用者上次的密碼變更。若要讓使用者在下次登入時變更其密碼,請啟用
。若要強制密碼輪用,請設定
和 。若要提醒使用者在其密碼過期之前變更密碼,請設定
。若要限制使用者在其密碼過期後可以登入的期限,請變更
中的值。您還可以為整個帳戶指定特定的過期日期。以 YYYY-MM-DD 格式輸入
。請注意,此設定與密碼不相關,而是套用至帳戶自身。如需關於選項和預設值的詳細資訊,請按一下
。按一下
套用您的變更。
22.3.3 管理配額 #
為避免出現事先未通知系統容量即用盡的情況,系統管理員可以為使用者或群組設定配額。配額可以針對一或多個檔案系統定義,並限制可以使用的磁碟空間容量以及可在其中建立的 inode (索引節點) 數量。Inode 是檔案系統上的資料結構,用於儲存關於一般檔案、目錄或其他檔案系統物件的基本資訊。它們會儲存檔案系統物件的所有屬性 (例如使用者和群組擁有權、讀取、寫入或執行許可權),檔案名稱和內容除外。
SUSE Linux Enterprise Server 允許使用軟
配額和硬
配額。此外,可以定義寬限間隔,允許使用者或群組在一定數量範圍內暫時違反其配額。
- 軟配額
定義一個警告層級,達到此層級時,將告知使用者他們即將超過限制。管理員將會催促使用者清理並減少分割區上的資料。軟配額限制通常低於硬配額限制。
- 硬配額
定義拒絕寫入請求之前所要達到的限制。如果達到了硬配額,則不再可以儲存資料,並且應用程式可能會當機。
- 寬限期間
定義在超出軟配額之後,經過多長時間再發出警告。通常設定為一個相當小的值,例如一小時或數小時。
若要為特定使用者和群組設定配額,您需要先在 YaST 進階磁碟分割程式中對相應的分割區啟用配額支援。
Btrfs 分割區的配額將以不同的方式處理。如需詳細資訊,請參閱第 1.2.5 節 「Btrfs 子磁碟區配額支援」。
在 YaST 中,選取
› ,然後按一下 以繼續。在
中,選取要對其啟用配額的分割區,然後按一下 。按一下
並啟用 。如果尚未安裝定額
套件,則當您按一下 以確認相應的訊息時,系統即會安裝該套件。確認變更並離開
。輸入以下指令以確定
quotaon
服務正在執行:tux >
sudo
systemctl status quotaon它應該標示為處於
active
狀態。若情況並非如此,請使用指令systemctl start quotaon
將其啟動。
現在,您可以為特定使用者或群組定義軟配額或硬配額,並設定做為寬限間隔的期間。
在 YaST 的
中,選取要為其設定配額的使用者或群組,然後按一下 。在
索引標籤中,選取 項目,然後按一下 開啟 對話方塊。從
中,選取要為其套用配額的分割區。在
下面,限制磁碟空間的容量。輸入使用者或群組在此分割區上可使用的 1 KB 區塊數。指定 和 的值。此外,您還可以限制使用者或群組在分割區上可擁有的 inode 數。在
下面,輸入 和 。只有在使用者或群組已經超過指定的大小或 inode 軟限制後,您才可以定義寬限間隔。否則,與時間相關的文字方塊將處於未啟用狀態。指定允許使用者或群組超過上述所設限制的期間。
以
確認您的設定值。按一下
關閉管理對話方塊並儲存變更。或者,若要儲存所有變更且不離開
對話方塊,請按一下 › 。
SUSE Linux Enterprise Server 還隨附了 repquota
或 warnquota
等指令行工具。系統管理員可以使用這些工具來控制磁碟使用量,或者向超出定額的使用者傳送電子郵件通知。管理員還可以使用 quota_nld
,將有關超出定額的核心訊息轉遞給 D-BUS。如需詳細資訊,請參閱 repquota
、warnquota
和 quota_nld
的 man 頁面。
22.4 變更本地使用者的預設設定 #
建立新的本地使用者時,YaST 會使用幾個預設設定。舉例來說,預設設定包括使用者所屬的主要群組和次要群組,或使用者主目錄的存取許可權。您可以變更這些預設設定來符合自身需求。
開啟 YaST 的
對話方塊並選取 索引標籤。若要變更新使用者應自動隸屬的主要群組,請從
中選取另一個群組。若要修改新使用者的次要群組,請在
中新增或變更群組。群組名稱必須以逗號隔開。如果您不想使用
/home/USERNAME
做為新使用者主目錄的預設路徑,請修改 。若要變更新建立之主目錄的預設許可模式,請在Chapter 19, Access Control Lists in Linux 和
中調整 Umask 值。如需 Umask 的詳細資訊,請參閱Umask
man 頁面。如需關於各選項的資訊,請按一下
。按一下
套用您的變更。
22.5 將使用者指定給群組 #
系統會根據您可從第 22.4 節 「變更本地使用者的預設設定」。
對話方塊 索引標籤中存取的預設設定,將本地使用者指定給數個群組。下面說明了如何修改為個別使用者指定的群組。如果您需要變更新為使用者預設指定的群組,請參閱開啟 YaST 的
對話方塊並按一下 索引標籤。該索引標籤將列出使用者以及使用者隸屬的群組。按一下
並切換到 索引標籤。若要變更使用者隸屬的主要群組,請按一下
,然後從清單中選取群組。若要為使用者指定其他次要群組,請啟用
清單中對應的核取方塊。按一下
套用您的變更。按一下
關閉管理對話方塊並儲存變更。或者,若要儲存所有變更且不離開
對話方塊,請按一下 › 。
22.6 管理群組 #
使用 YaST 還可以輕鬆地新增、修改或刪除群組。
若要刪除群組,則它不能包含任何群組成員。若要刪除群組,請從清單中選取群組,然後按一下
。按一下 關閉管理對話方塊並儲存變更。或者,若要儲存所有變更且不離開 對話方塊,請按一下 › 。22.7 變更使用者驗證方式 #
機器連接到網路時,您可以變更驗證方式。下列選項可供使用:
- NIS
在 NIS 伺服器上集中管理網路中所有系統的使用者。如需詳細資料,請參閱Chapter 3, Using NIS。
- SSSD
系統安全性服務精靈 (SSSD) 可在本地快取使用者資料,並可讓使用者使用這些資料,即使實際目錄服務 (暫時) 無法連接也不例外。如需詳細資料,請參閱Section 4.2, “SSSD”。
- Samba
Linux 與 Windows 混合網路中常使用 SMB 驗證。如需詳細資料,請參閱第 34 章 「Samba」。
若要變更驗證方式,請按照下列步驟進行:
在 YaST 中開啟
對話方塊。按一下
索引標籤,顯示可用驗證方式和目前設定的綜覽。若要變更驗證方式,請按一下
並選取要修改的驗證方式。此動作會將您直接轉到 YaST 中的用戶端組態模組。如需設定適當用戶端的相關資訊,請參閱以下幾節:NIS:: Section 3.2, “Configuring NIS Clients”
LDAP:: Section 4.1, “Configuring an Authentication Client with YaST”
Samba:: 第 34.5.1 節 「使用 YaST 設定 Samba 用戶端」
SSSD:: Section 4.2, “SSSD”
接受組態後,返回
綜覽。按一下
,關閉管理對話方塊。
22.8 預設系統使用者 #
SUSE Linux Enterprise Server 預設會建立不可刪除的使用者名稱。通常在 Linux Standard Base 中定義這些使用者。下面的清單提供了常見的使用者名稱及其用途:
bin
,daemon
舊版使用者,為了與舊版應用程式相容而提供。新版應用程式應該不再使用此使用者名稱。
gdm
GNOME 顯示管理員 (GDM) 使用此使用者名稱來提供圖形登入,以及管理本地和遠端顯示內容。
lp
由通用 Unix 列印系統 (CUPS) 的印表機精靈使用。
mail
為
sendmail
或postfix
等郵件程式保留的使用者。man
由 man 用來存取 man 頁面。
messagebus
用於存取 D-Bus (桌面匯流排,用於程序間通訊的軟體匯流排)。精靈為
dbus-daemon
。nobody
不擁有任何檔案,且屬於無權限群組的使用者。目前,其用途有限,因為 Linux Standard Base 建議為每個精靈提供單獨的使用者帳戶。
nscd
由名稱服務快取精靈使用。此精靈是用於改善 NIS 和 LDAP 效能的查閱服務。精靈為
nscd
。polkitd
由 PolicyKit 授權架構 (定義和處理無權限程序的授權要求) 使用。精靈為
polkitd
。postfix
由 Postfix 郵件程式使用。
pulse
由 Pulseaudio 音效伺服器使用。
root
由提供所有適當權限的系統管理員使用。
rpc
由
rpcbind
指令 (RPC 連接埠對應程式) 使用。rtkit
由為即時排程模式提供 D-Bus 系統服務的 rtkit 套件使用。
salt
Salt 提供的平行遠端執行的使用者。精靈名為
salt-master
。scard
與智慧卡和讀卡器通訊時使用的使用者。精靈名為
pcscd
。srvGeoClue
GeoClue D-Bus 服務使用它來提供位置資訊。
sshd
安全外圍程序精靈 (SSH) 使用它來確保在非安全網路上進行安全的加密通訊。
statd
rpc.statd
精靈中實作的網路狀態監控通訊協定 (NSM) 使用它來監聽重新開機通知。systemd-coredump
/usr/lib/systemd/systemd-coredump
指令使用它來獲取、儲存和處理磁心傾印。systemd-timesync
/usr/lib/systemd/systemd-timesyncd
指令使用它將本地系統時鐘與遠端網路時間通訊協定 (NTP) 伺服器同步。