適用範圍 SUSE Linux Enterprise Server 15 SP4

6 使用 YaST 管理使用者 #

在安裝期間，您可能已為系統建立了本地使用者。使用 YaST 模組使用者和群組管理可以新增使用者，或編輯現有使用者。它還可讓您設定系統，以在網路伺服器上驗證使用者。

6.1 使用者及群組管理對話方塊 #

若要管理使用者或群組，請啟動 YaST，然後按一下安全性與使用者 › 使用者和群組管理。此外，還可以從指令行執行 sudo yast2 users & 直接啟動使用者和群組管理對話方塊。

圖 6.1︰ YaST 使用者及群組管理 #

每位使用者都被指定了全系統使用者 ID (UID)。除了可以登入機器的使用者之外，系統還提供了幾個僅供內部使用的系統使用者。系統會將每個使用者指定給一或多個群組。類似於「系統使用者」，系統還提供了「系統群組」供內部使用。

根據您在對話方塊中選擇檢視和修改的使用者集 (本地使用者、網路使用者、系統使用者)，主視窗會顯示幾個索引標籤。使用它們可以執行以下任務：

管理使用者帳戶: 從使用者索引標籤中，建立、修改、刪除或暫時停用使用者帳戶，如第 6.2 節「管理使用者帳戶」所述。在第 6.3 節「其他使用者帳戶選項」中瞭解進階選項，例如強制執行密碼規則、使用加密的主目錄或管理磁碟配額。
變更預設設定: 系統會根據在新使用者的預設值索引標籤中定義的設定建立本地使用者帳戶。在第 6.4 節「變更本地使用者的預設設定」中瞭解如何變更指定的預設群組，或主目錄的預設路徑及存取許可權。
將使用者指定給群組: 在第 6.5 節「將使用者指定給群組」中瞭解如何變更為個別使用者指定的群組。
管理群組: 從群組索引標籤中，可以新增、修改或刪除現有群組。有關如何執行此操作的資訊，請參閱第 6.6 節「管理群組」。
變更使用者驗證方法: 機器連接到提供 NIS 或 LDAP 等使用者驗證方式的網路時，您可以在驗證設定索引標籤上的多種驗證方式中進行選擇。若需更多資訊，請參閱第 6.7 節「變更使用者驗證方法」。

對於使用者及群組管理，對話方塊提供了類似的功能。透過在對話方塊頂部選擇對應的索引標籤，可以輕鬆地在使用者與群組管理檢視窗之間切換。

使用過濾器選項可以定義要修改的一組使用者或群組：在使用者或群組索引標籤上，按一下設定過濾器，以檢視和編輯使用者或群組。系統會根據本地使用者或 LDAP 使用者等特定類別 (如果適用) 列出使用者或群組。透過設定過濾器 › 自訂過濾器，您還可以設定和使用自訂過濾器。

在該對話方塊中，並不是下列所有選項和功能都可用，具體取決於您選擇的過濾器。

6.2 管理使用者帳戶 #

YaST 可讓您建立、修改、刪除或暫時停用使用者帳戶。請勿修改使用者帳戶，除非您是有經驗的使用者或管理員。

注意：變更現有使用者的 ID

檔案擁有權與使用者 ID 而非使用者名稱繫結。變更使用者 ID 後，使用者主目錄中的檔案會自動調整以反映此變更。但變更 ID 後，使用者不再擁有他們在檔案系統中其他位置建立的檔案，除非您手動修改那些檔案的檔案擁有權。

下文說明了如何設定預設使用者帳戶。關於其他選項，請參閱第 6.3 節「其他使用者帳戶選項」。

程序 6.1︰新增或修改使用者帳戶 #

開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。
使用設定過濾器定義要管理的一組使用者。對話方塊將列出系統中的使用者以及使用者隸屬的群組。
若要修改現有使用者的選項，請選取項目，然後按一下編輯。
若要建立新的使用者帳戶，請按一下新增。
在第一個索引標籤上輸入適當的使用者資料，例如使用者名稱(用於登入) 和密碼。此資料已足可建立新使用者。若現在按一下確定，系統將根據預設值自動指定使用者 ID 並設定所有其他值。
如果您要將任何類型的系統通知傳送到此使用者的信箱，請啟動接收系統郵件。隨即會為 root 建立郵件別名，並且該使用者無需先以 root 身分登入便可以讀取系統郵件。
系統服務傳送的郵件儲存在本地信箱 /var/spool/mail/USERNAME 中，其中，USERNAME 是所選使用者的登入名稱。若要閱讀電子郵件，可以使用 mail 指令。
若要進一步調整詳細資料 (例如使用者 ID 或使用者主目錄的路徑)，可以在詳細資料索引標籤中進行。
如果您需要重設現有使用者的主目錄，請在該處輸入新主目錄的路徑，然後使用移動到新位置移動目前主目錄的內容。否則，將會建立不含任何現有資料的新主目錄。
要強制使用者定期變更其密碼或設定其他密碼選項，請切換到密碼設定並調整選項。如需詳細資訊，請參閱第 6.3.2 節「強制執行密碼規則」。
視需要設定所有選項之後，按一下確定。
按一下確定關閉管理對話方塊並儲存變更。現在，新增的使用者便可使用您建立的登入名稱和密碼登入系統。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

提示：比對使用者 ID

將 (本地) 使用者 ID 與網路中的 ID 進行對比會很有用。例如，應該將筆記型電腦上的新 (本地) 使用者整合到包含相同使用者 ID 的網路環境中。如此可確定使用者「離線」所建檔案與在網路上直接建立之檔案的檔案擁有權相同。

程序 6.2︰停用或刪除使用者帳戶 #

開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。
若要暫時停用使用者帳戶而不將其刪除，請從清單中選取該使用者，然後按一下編輯。啟用停用使用者登入。您再次啟用該帳戶之前，使用者將一直無法登入機器。
若要刪除使用者帳戶，請從清單中選取該使用者，然後按一下刪除。選擇您是要刪除使用者的主目錄，還是要保留該資料。

6.3 其他使用者帳戶選項 #

除了預設使用者帳戶的設定外，SUSE® Linux Enterprise Server 還提供了其他選項。例如，用於強制執行密碼規則、使用加密的主目錄，或者為使用者和群組定義磁碟定額的選項。

6.3.1 自動登入和無密碼登入 #

如果您使用的是 GNOME 桌面環境，則可以為特定使用者設定自動登入，為所有使用者設定無密碼登入。自動登入會讓使用者在開機時自動登入桌面環境。一次只能對一個使用者啟用此功能。使用無密碼登入可以讓使用者在登入管理員中輸入其使用者名稱後直接登入系統。

警告：安全性風險

在多人可以存取的機器上啟用自動登入或無密碼登入會有安全性風險。所有使用者無須驗證即可存取您的系統和資料。如果您的系統含有機密資料，則請勿使用此功能。

若要啟用自動登入或無密碼登入，請透過 YaST 使用者和群組管理中的進階選項 › 登入設定來存取這些功能。

6.3.2 強制執行密碼規則 #

在任何擁有多個使用者的系統上，若能至少強制執行基本的密碼安全性規則，是個不錯的作法。使用者應定期變更密碼，並應使用增強式密碼，因為此種密碼無法輕易破解。對於本地使用者，請按照下列步驟進行：

程序 6.3︰組態密碼設定 #

開啟 YaST 的使用者和群組管理對話方塊並選取使用者索引標籤。
選取要為其變更密碼選項的使用者，然後按一下編輯。
切換到密碼設定索引標籤。該索引標籤上會顯示使用者上次的密碼變更。
若要讓使用者在下次登入時變更其密碼，請啟用強制密碼變更。
若要強制密碼輪用，請設定相同密碼最多可使用天數和相同密碼最少可使用天數。
若要提醒使用者在其密碼過期之前變更密碼，請設定密碼過期前發出警告的天數。
若要限制使用者在其密碼過期後可以登入的期限，請變更密碼過期後仍可登入的天數中的值。
您還可以為整個帳戶指定特定的過期日期。以 YYYY-MM-DD 格式輸入過期日。請注意，此設定與密碼不相關，而是套用至帳戶自身。
如需關於選項和預設值的詳細資訊，請按一下說明。
按一下確定套用您的變更。

6.3.3 管理配額 #

為避免出現事先未通知系統容量即用盡的情況，系統管理員可以為使用者或群組設定配額。配額可以針對一或多個檔案系統定義，並限制可以使用的磁碟空間容量以及可在其中建立的 inode (索引節點) 數量。Inode 是檔案系統上的資料結構，用於儲存關於一般檔案、目錄或其他檔案系統物件的基本資訊。它們會儲存檔案系統物件的所有屬性 (例如使用者和群組擁有權、讀取、寫入或執行許可權)，檔案名稱和內容除外。

SUSE Linux Enterprise Server 允許使用軟配額和硬配額。此外，可以定義寬限間隔，允許使用者或群組在一定數量範圍內暫時違反其配額。

軟配額: 定義一個警告層級，達到此層級時，將告知使用者他們即將超過限制。管理員將會催促使用者清理並減少分割區上的資料。軟配額限制通常低於硬配額限制。
硬配額: 定義拒絕寫入請求之前所要達到的限制。如果達到了硬配額，則不再可以儲存資料，並且應用程式可能會當機。
寬限期間: 定義在超出軟配額之後，經過多長時間再發出警告。通常設定為一個相當小的值，例如一小時或數小時。

程序 6.4︰對分割區啟用配額支援 #

若要為特定使用者和群組設定配額，您需要先在 YaST 進階磁碟分割程式中對相應的分割區啟用配額支援。

注意：Btrfs 分割區的配額

Btrfs 分割區的配額將以不同的方式處理。如需詳細資訊，請參閱第 1.2.5 節「Btrfs 子磁碟區配額支援」。

在 YaST 中，選取系統 › 磁碟分割程式，然後按一下是以繼續。
在進階磁碟分割程式中，選取要對其啟用配額的分割區，然後按一下編輯。
按一下Fstab 選項並啟用啟用配額支援。如果尚未安裝 quota 套件，當您按一下是確認相應的訊息時，系統就會安裝該套件。
確認變更並離開進階磁碟分割程式。
輸入以下指令以確定 quotaon 服務正在執行：
```
> sudo systemctl status quotaon.service
```
它應該標示為處於 active 狀態。若情況並非如此，請使用指令 systemctl start quotaon.service 將其啟動。

程序 6.5︰為使用者或群組設定配額 #

現在，您可以為特定使用者或群組定義軟配額或硬配額，並設定做為寬限間隔的期間。

在 YaST 的使用者和群組管理中，選取要為其設定配額的使用者或群組，然後按一下編輯。
在外掛程式索引標籤中，選取管理使用者配額項目，然後按一下啟動開啟配額組態對話方塊。
從檔案系統中，選取要為其套用配額的分割區。
在大小限制下面，限制磁碟空間的容量。輸入使用者或群組在此分割區上可使用的 1 KB 區塊數。指定軟限制和硬限制的值。
此外，您還可以限制使用者或群組在分割區上可擁有的 inode 數。在Inode 限制下面，輸入軟限制和硬限制。
只有在使用者或群組已經超過指定的大小或 inode 軟限制後，您才可以定義寬限間隔。否則，與時間相關的文字方塊將處於未啟用狀態。指定允許使用者或群組超過上述所設限制的期間。
以確定確認您的設定值。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

SUSE Linux Enterprise Server 還隨附了 repquota 或 warnquota 等指令行工具。系統管理員可以使用這些工具來控制磁碟使用量，或者向超出定額的使用者傳送電子郵件通知。管理員還可以使用 quota_nld，將有關超出定額的核心訊息轉遞給 D-BUS。如需詳細資訊，請參閱 repquota、warnquota 和 quota_nld 的 man 頁面。

6.4 變更本地使用者的預設設定 #

建立新的本地使用者時，YaST 會使用幾個預設設定。舉例來說，預設設定包括使用者所屬的主要群組和次要群組，或使用者主目錄的存取許可權。您可以變更這些預設設定來符合自身需求。

開啟 YaST 的使用者和群組管理對話方塊並選取新使用者的預設值索引標籤。
若要變更新使用者應自動隸屬的主要群組，請從預設群組中選取另一個群組。
若要修改新使用者的次要群組，請在次要群組中新增或變更群組。群組名稱必須以逗號隔開。
如果您不想使用 /home/USERNAME 做為新使用者主目錄的預設路徑，請修改主目錄的路徑字首。
若要變更新建立之主目錄的預設許可模式，請在主目錄的 Umask中調整 Umask 值。如需 Umask 的詳細資訊，請參閱Chapter 19, Access control lists in Linux 和 Umask man 頁面。
如需關於各選項的資訊，請按一下說明。
按一下確定套用您的變更。

6.5 將使用者指定給群組 #

系統會根據您可從使用者和群組管理對話方塊中新使用者的預設值索引標籤上存取的預設設定，將本地使用者指定給數個群組。下面說明了如何修改為個別使用者指定的群組。如果您需要變更新為使用者預設指定的群組，請參閱第 6.4 節「變更本地使用者的預設設定」。

程序 6.6︰變更使用者的群組指定 #

開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。該索引標籤將列出使用者以及使用者隸屬的群組。
按一下編輯並切換到詳細資料索引標籤。
若要變更使用者隸屬的主要群組，請按一下預設群組，然後從清單中選取群組。
若要為使用者指定其他次要群組，請啟用其他群組清單中對應的核取方塊。
按一下確定套用您的變更。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

6.6 管理群組 #

使用 YaST 還能輕鬆地新增、修改或刪除群組。

程序 6.7︰建立和修改群組 #

開啟 YaST 的使用者和群組管理對話方塊並按一下群組索引標籤。
使用設定過濾器定義要管理的一組群組。對話方塊將列出系統中的群組。
若要建立新的群組，請按一下新增。
若要修改現有的群組，請選取群組，然後按一下編輯。
在下面的對話方塊中，輸入或變更資料。右側的清單顯示可以做為群組成員的所有可用使用者和系統使用者的綜覽。
若要將現有的使用者新增到新群組，請在可用群組成員的清單中核取對應的方塊選取使用者。若要從群組中移除使用者，請停用方塊。
按一下確定套用您的變更。
按一下確定關閉管理對話方塊並儲存變更。
或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

若要刪除群組，則它不能包含任何群組成員。若要刪除群組，請從清單中選取群組，然後按一下刪除。按一下確定關閉管理對話方塊並儲存變更。或者，若要儲存所有變更且不離開使用者和群組管理對話方塊，請按一下進階選項 › 立即寫入變更。

6.7 變更使用者驗證方法 #

機器連接到網路時，您可以變更驗證方式。下列選項可供使用：

NIS: 在 NIS 伺服器上集中管理網路中所有系統的使用者。如需詳細資料，請參閱Chapter 3, Using NIS。
SSSD: 系統安全性服務精靈 (SSSD) 可在本地快取使用者資料，並可讓使用者使用這些資料，即使實際目錄服務 (暫時) 無法連接也不例外。如需詳細資料，請參閱Section 4.2, “SSSD”。
Samba: Linux 與 Windows 混合網路中常使用 SMB 驗證。若需要詳細資料，請參閱第 20 章「Samba」 .

若要變更驗證方式，請按照下列步驟進行：

在 YaST 中開啟使用者和群組管理對話方塊。
按一下驗證設定索引標籤，顯示可用驗證方式和目前設定的綜覽。
若要變更驗證方式，請按一下設定並選取要修改的驗證方式。此動作會將您直接轉到 YaST 中的用戶端組態模組。如需設定適當用戶端的相關資訊，請參閱以下幾節：
NIS：： Section 3.2, “Configuring NIS clients”
LDAP: Section 4.1, “Configuring an authentication client with YaST”
Samba: 第 20.5.1 節「使用 YaST 設定 Samba 用戶端」
SSSD: Section 4.2, “SSSD”
接受組態後，返回使用者及群組管理綜覽。
按一下確定，關閉管理對話方塊。

6.8 預設系統使用者 #

SUSE Linux Enterprise Server 預設會建立一些不可刪除的使用者名稱。通常在 Linux Standard Base 中定義這些使用者。下面的清單提供了常見的使用者名稱及其用途：

預設安裝的常見使用者名稱 #

bin, daemon: 舊版使用者，為了與舊版應用程式相容而提供。新版應用程式應該不再使用此使用者名稱。
gdm: GNOME 顯示管理員 (GDM) 使用此使用者名稱來提供圖形登入，以及管理本地和遠端顯示內容。
lp: 由通用 Unix 列印系統 (CUPS) 的印表機精靈使用。
mail: 為 sendmail 或 postfix 等郵件程式保留的使用者。
man: 由 man 用來存取 man 頁面。
messagebus: 用於存取 D-Bus (桌面匯流排，用於程序間通訊的軟體匯流排)。精靈是 dbus-daemon。
nobody: 不擁有任何檔案，且屬於無權限群組的使用者。目前，其用途有限，因為 Linux Standard Base 建議為每個精靈提供單獨的使用者帳戶。
nscd: 由名稱服務快取精靈使用。此精靈是用於改善 NIS 和 LDAP 效能的查閱服務。精靈是 nscd。
polkitd: 由 PolicyKit 授權架構 (用於定義和處理非特權程序的授權要求) 使用。精靈是 polkitd。
postfix: 由 Postfix 郵件程式使用。
pulse: 由 Pulseaudio 音效伺服器使用。
root: 由提供所有適當權限的系統管理員使用。
rpc: 由 rpcbind 指令 (RPC 連接埠對應程式) 使用。
rtkit: 由提供 D-Bus 系統服務以實現即時排程模式的 rtkit 套件使用。
salt: Salt 提供的平行遠端執行的使用者。精靈名為 salt-master。
scard: 與智慧卡和讀卡器通訊時使用的使用者。精靈名為 pcscd。
srvGeoClue: GeoClue D-Bus 服務使用它來提供位置資訊。
sshd: 安全外圍程序精靈 (SSH) 使用它來確保在非安全網路上進行安全的加密通訊。
statd: rpc.statd 精靈中實作的網路狀態監控通訊協定 (NSM) 使用它來監聽重新開機通知。
systemd-coredump: /usr/lib/systemd/systemd-coredump 指令使用它來獲取、儲存和處理核心傾印。
systemd-timesync: /usr/lib/systemd/systemd-timesyncd 指令使用它將本地系統時鐘與遠端網路時間通訊協定 (NTP) 伺服器同步。