Pierwsza część rozdziału nr 7 książki:
Unix i Linux. Przewodnik administratora systemów. Wydanie IV

DODAWANIE NOWYCH UŻYTKOWNIKÓW

W większości systemów jednym z rutynowych obowiązków jest dodawanie i usuwanie nowych użytkowników. Są to zadania proste, ale i nużące, dlatego większość administratorów, aby zautomatyzować ten proces, wprowadza do narzędzi dostarczanych wraz z systemem operacyjnym pewne ulepszenia, a następnie przekazuje właściwą pracę asystentowi lub operatorowi.

Oprócz rozproszonych serwerów, na których jest jedynie dwóch użytkowników, obserwujemy obecnie ponowny wzrost liczby serwerów scentralizowanych, zawierających setki kont. Administratorzy muszą posiadać gruntowną znajomość systemu kont użytkowników, aby zarządzać usługami sieciowymi i konfigurować konta w sposób właściwy dla lokalnego środowiska komputerowego. Zarządzanie kontami na serwerach to często jedynie jeden z wielu elementów obsługi kont dla całego przedsiębiorstwa.

Współczesne środowiska produkcyjne wymagają nie tylko narzędzi do dodawania użytkowników do określonych komputerów, ale i takich, które umożliwią zarządzanie użytkownikami i ich niezliczonymi kontami oraz hasłami w całym środowisku komputerowym, czyli potrzebują systemu zarządzania tożsamością. Usługi katalogowe, takie jak Active Directory firmy Microsoft, OpenLDAP czy Fedora Directory Server, są w powszechnym użyciu, dlatego omówimy tu dokładniej wpływ tego rodzaju systemów na zadania związane z zarządzaniem kontami (jak zwykle, krótkowzroczny Microsoft nie współpracuje zbyt dobrze z innymi, chyba że przekażesz zarządzanie Active Directory).

Potrzeby niektórych ośrodków mogą przekraczać możliwości nawet takich systemów. Nie będziemy tu omawiać komercyjnych systemów zarządzania tożsamością, ale wskażemy kilku kandydatów. Prawdopodobnie systemy te będą odpowiednim rozwiązaniem dla bardzo dużych ośrodków, zwłaszcza takich, w których wymagane jest przestrzeganie regulacji prawnych, takich jak ustawa HIPAA (ang. Health Insurance Portability and Accountability Act) lub ustawa Sarbanesa-Oxleya (w przypadku USA); patrz strona 292.

Higiena obsługi kont jest kluczowym warunkiem bezpieczeństwa systemu. Rzadko używane konta są głównym celem ataków, podobnie jak konta z łatwymi do odgadnięcia hasłami. Jeśli nawet do dodawania i usuwania użytkowników wykorzystujesz zautomatyzowane narzędzia dostępne w Twoim systemie, ważne jest, abyś rozumiał, jakie zmiany wprowadzają te narzędzia. Dlatego też temat zarządzania kontami zaczniemy od omówienia zwykłych plików, które należy zmodyfikować, aby dodać użytkowników do pojedynczego komputera.

Następnie zajmiemy się zautomatyzowanymi narzędziami występującymi w każdym z naszych przykładowych systemów operacyjnych oraz plikami konfiguracyjnymi, które sterują ich zachowaniem. Co dziwne (a może raczej dezorientujące), we wszystkich naszych przykładowych systemach narzędzia do zarządzania kontami noszą nazwy useradd, userdel i usermod, choć niekoniecznie są to dokładnie takie same programy (poza tym w systemie AIX ta zgodność nazewnicza została uzyskana przez zastosowanie skryptów osłonowych dla rodzimych narzędzi mkuser, rmuser i chuser).

Domyślne narzędzie useradd jest całkiem dobre i powinno wystarczyć do obsługi większości ośrodków. Niestety, narzędzie userdel nie zawsze jest tak dokładne, jak byśmy sobie tego życzyli.

Większość systemów zawiera również proste narzędzia graficzne umożliwiające dodawanie i usuwanie użytkowników, choć zazwyczaj nie oferują one trybu wsadowego ani zaawansowanych ustawień lokalizacyjnych. Są na tyle proste, że nie warto tu szczegółowo omawiać ich działania, wskażemy jednak, gdzie można uzyskać dokumentację producenta dla każdego z tych narzędzi.

W tym rozdziale skupimy się głównie na dodawaniu i usuwaniu użytkowników. Wiele kwestii zawiązanych z zarządzaniem użytkownikami omawiamy w innych rozdziałach, a tutaj będziemy się jedynie do nich odwoływać, np.:

• mechanizm PAM (ang. Pluggable Authentication Modules) odpowiadający za szyfrowanie uwierzytelniania i wymuszający stosowanie silnych haseł, omawiany jest w rozdziale 22., „Bezpieczeństwo” (od strony 1113),
• skrytki i depozyty ułatwiające zarządzanie hasłami opisane są w rozdziale 4., „Kontrola dostępu i uprawnienia administratora” (patrz strona 189),
• usługi katalogowe, takie jak NIS i OpenLDAP, przedstawione zostały w rozdziale 19., „Współdzielenie plików systemowych”, od strony 899; kilka komentarzy na temat Active Directory można też znaleźć w rozdziale 30., „Współpraca z Windows”, na stronie 1399,
• kwestie proceduralne i prawne są głównym tematem rozdziału 32., „Zarządzanie i reguły w IT”.

W trzech następnych podrozdziałach przyjrzymy się podstawowym plikom, które odgrywają dużą rolę w zarządzaniu użytkownikami.

cdn.