10. Benutzerverwaltung

10.1 Grundlagen
10.2 Standard-Werkzeuge
10.3 Praxis-Beispiel

10.3.1 Aufruf
10.3.2 Dateien

10.1 Grundlagen

• Verwaltungsdateien:
  1. /etc/passwd bzw. /var/yp/passwd (NIS). Es ist zu beachten, daß die Datei /var/yp/passwd die verschlüsselten Passwörter direkt enthält.

     solaris# grep root /etc/passwd  
     root:wBDuOqK5iQXa.:0:0:System Admin:/root:/bin/sh
     
     nis-server# grep ^feyrer: /var/yp/passwd 
     feyrer:wBDuOqK2iQXa.:102:200:Hubert Feyrer:/net/rfhs8012/home3/bedienst/feyrer:/soft/bin/tcsh
     

  2. Shadow-Passwords: Um die verschluesselten Passwoerter nur fuer System-Prozesse (von Root gestartet bzw. setuid root) zugaenglich zu machen werden diese sog. Shadow-Passwords in eigenen Dateien gehalten:
     • /etc/shadow: auf Solaris und manche Linux Distributionen

       rfhpc8317# grep ^root /etc/passwd 
       root:x:0:1:Super-User:/root:/sbin/sh
       rfhpc8317# grep ^root /etc/shadow 
       root:qcKNrruXwCcTg:12515:::::: 

     • /etc/master.passwd: Auf *BSD. Hier ist zu beachten dass die /etc/passwd (und /etc/pwd.db und /etc/spwd.db) aus der der Datei /etc/master.passwd generiert werden, aus diesem Grund sollte diese Datei nur mit dem Befehl vipw(8) editiert werden!

       Beispiel 1: Benutzer-Datenbank editieren

       vulab2# cat /etc/master.passwd
       root:3xskhdCCbRS4s:0:0::0:0:Charlie &:/root:/bin/csh
       toor:*:0:0::0:0:Bourne-again Superuser:/root:/bin/sh
       vulab:gPVxzc9J7rxZY:1000:100::0:0:,,,:/home/vulab:/bin/sh
       vulab2# vipw
       ...

       Beispiel 2: Neu-erzeugen der generierten Dateien (besser: vipw!)

       bsd% mkdir /tmp/newroot
       bsd% mkdir /tmp/newroot/etc
       bsd% echo "vulab:gPVxzc9J7rxZY:1000:100::0:0:,,,:/home/vulab:/bin/sh" \
              >/tmp/newroot/etc/master.passwd
       bsd% pwd_mkdb -d /tmp/newroot /tmp/newroot/etc/master.passwd 
       bsd% cd /tmp/newroot/etc
       bsd% ls
       master.passwd   pwd.db          spwd.db
       bsd% pwd_mkdb -p -d /tmp/newroot /tmp/newroot/etc/master.passwd
       bsd% ls
       master.passwd   passwd          pwd.db          spwd.db
       bsd% cat passwd
       vulab:*:1000:100:,,,:/home/vulab:/bin/sh
       

  3. /etc/group: Neben der in der passwd-Datei eingetragenen Primary Group koennen hier pro Gruppe User angegeben werden, die der Gruppe zusaetzlich (via Supplementary Groups) angehoeren. Bei der Unix-Rechtepruefung wird kein Unterschied zwischen Primary und Secondary Groups gemacht, neue Dateien und Verzeichnisse werden i.d.R. mit der primaeren GID angelegt.

     Beispiel 1:

     rfhpc8130% cat /etc/group 
     wheel:*:0:root,feyrer
     daemon:*:1:daemon
     kmem:*:2:root
     sys:*:3:root
     tty:*:4:root
     operator:*:5:root
     mail:*:6:
     ...

     Beispiel 2:

     bsd% id
     uid=102(feyrer) gid=100(users) groups=100(users),0(wheel),666(cvs),1002(wsrc)
     bsd% grep feyrer /etc/passwd
     feyrer:*:102:100:Hubert Feyrer,,,:/home/feyrer:/usr/local/bin/tcsh
     bsd% grep :100: /etc/group 
     users:*:100:
     bsd% grep feyrer /etc/group 
     wheel:*:0:root,feyrer
     cvs:*:666:feyrer,agc,bad,holli,mjl,jsm,autofetch,mycroft,wiz,mrauch
     vulab:*:1002:feyrer 

  Wie in einer früheren Übung bereits besprochen müssen die User-IDs für jeden Benutzer eindeutig sein, zum anlegen eines neuen Benutzers muss eine freie Benutzer-ID gesucht werden! Die User ID 0 ist dem Systemverwalter (root) vorbehalten.

• Password encryption: Beim Neu-Anlegen von Accounts muss das Passwort verschluesselt in die Datei /etc/passwd (bzw. /etc/shadow, /etc/master.passwd, ...) eingetragen werden. Die DES-Verschlüsselung des Passworts geschieht mit Hilfe der crypt(3C) Funktion, wahlweise unter C oder perl. Der dabei benötigte Parameter "salt" besteht aus zwei beliebigen alphanumerischen Zeichen.

  rfhs8012# perl -e 'print crypt("geheim", "ax"), "\n"'
  axDhfgaRDkCsc
  

  Alternativ kann das Setzen des Passworts auch manuell mittels passwd(1) geschehen, was jedoch schwerer zu scripten ist. Vorteil ist hierbei, dass auch andere Passwort-Verschluesselungen (MD5, Blowfish, ...) funktionieren.

• Homedir: Das Arbeitsverzeichnis des Benutzers. Für neue Accounts muß der Benutzer Zugriff auf sein eigenes Verzeichnis haben (chown, ggf. chmod!)

  # df -k ~feyrer
  Filesystem      1K-blocks     Used    Avail Capacity  Mounted on
  rfhs8012:/home3  48063794 15472267 32110890    32%    /tmp_mnt/rfhs8012/root/home3
  # ls -ld $HOME
  drwxr-xr-x  88 feyrer   bedienst    9216 May  8 13:27 /net/rfhs8012/home3/bedienst/feyrer
  

• Start-Dateien (.-Files): Damit X, dieverse Window-Manager und Shells passend konfiguriert sind wird normalerweise auch ein Satz von Punkt-Dateien in das Verzeichnis des neuen Benutzers kopiert. (Anschließend chown nicht vergessen :-)

  # ls ~dummy
  .Xdefaults                              .netscape
  .Xresources                             .openwin-init
  .cshrc                                  .openwin-menu
  .dt                                     .openwin-menu-programs
  .emacs                                  .openwin-menu-utilities
  .fvwm2rc                                .pool-intro
  .fvwmrc                                 .profile
  .gopherrc                               .twmrc
  .hotjava                                .xinitrc.kde
  .login                                  .xinitrc.openwin
  .logout                                 .xinitrc.x11
  .mailcap                                .xinitrc.x11-1024x768
  .mime.types                             .xinitrc.x11-1152x900
  .mosaic-default-menu                    .xinitrc.x11-1280x1024
  .mosaic-hotlist-default.html            .xsession.kdm
  .mosaic-personal-annotations            .zircon
  .mysetup
  

• Crontab: Neue Accounts werden selten mit default-Crontabs ausgerüstet, beim Löschen von Accounts sollte jedoch auf verbleibende Crontabs geachtet werden. (Liegen normalerweise unter /var/spool/cron/crontabs/*)

• Quotas: Plattenplatzbeschränkungen werden üblicherweise implementiert, indem man die Quotas eines bestehenden Benutzers übernimmt:

  # edquota -p dummy newuser
  

• Site-specific: Oft müssen auch noch lokale Anpassungen für neue Accounts gemacht werden, z.B. Datenbank-Accounts eingerichtet, evtl. spezielle Verzeichnisse für Freigabe von Daten via Web/FTP, ... Dies sollte via Shellscripts weitestgehend automatisiert werden, damit so wenig Handarbeit (und damit Fehler) wie möglich nötig sind.

10.2 Standard-Werkzeuge

• Low level:
  • passwd, chfn, chpw/chpass, chsh: Tools um Einträge in der lokalen /etc/passwd oder der entsprechenden NIS-Map vorzunehmen. Entsprechende Zugriffsrechte werden dadurch erlangt, dass die Tools alle setuid root sind.
  • yppasswd: Ändert Passwort auf NIS-Server
  • useradd, userdel: Tools die das Editieren der /etc/passwd, Homedir anlegen etc. automatisieren, indem (meist) nur ein Benutzername anzugeben ist. UID und GID werden automatisch gesucht.
  • adduser: Andere Version des useradd Kommandos, oft mit sehr uneinheitlicher Benutzerschnittstelle. (Für useradd etc. existiert zumindest eine Beschreibung in der System V Interface Definition).

• High level:
  • admintool: Solaris' X-basiertes Tool für die nötigsten Arbeiten zum Eintragen von Benutzern, Neuen Rechnern, etc. Nicht Praxistauglich.

    

  • smc: Solaris' Sun Management Console. Nachfolger des admintools, sehr umfangreich.

    

  • sam: HP/UX' System Administration Manager, erlaubt Verwaltung von Benutzern und Gruppen, Sicherheit, Datensicherung und Recovery, Platten, Kernel, Netzwerk, Performance Monitoring, Drucker, etc.; Wahlweise Curses- (Terminal) oder grafische (X11) Oberflaeche:

    

  • smit: AIX' System Management Interface Tool, zur Benutzerverwaltung, Software-Installation, Druckerverwaltung, ...; Sehr umfangreich und vollständig (und aufgrund der obskuren Struktur von AIX zwingend nötig!). Verfuegbar als Curses-, X und Web-Anwendung:

    

  • yast2: Verwaltungstool von SuSE-Linux fuer viele Bereiche. Nur eingeschraenkt von "normalen" Benutzern aufrufbar, als X- und Curses-Anwendung.

    

10.3 Praxis-Beispiel

10.3.1 Aufruf

rfhs8012# ./adduser -h
Usage: ./adduser [-vnmh] [-u uid] [-g {gid|group}] [-s shell] [-c comment]
         [-o extra] [-p passwd] login

       -u  uid          set user-id
       -g {gid|group}   use gid or named group
       -s shell         shell, must be in /etc/shells
       -c comment       be sure to quote spaces in comments
       -o extra[,extra] extra to add, e.g. ORACLE
       -p password      set initial password
       -v               be verbose
       -n               make NOT. This implies -v -v.
       -m               don't run Make in /var/yp
       -h               this help
       login            login to create

rfhs8012# ./adduser -v -v -c "Heinz Dummy" -u 12345 -p duh12345 duh12345
Checking options
Setting lock /var/yp/passwd.lock
Make backup of file /var/yp/passwd
Add new entry to passwd-file
Updating NIS-map
waiting for NIS update
waiting for NIS update
waiting for NIS update
waiting for NIS update
Setting up home-dir
Editing quotas
Enabling extra services
lege ORACLE-Kennung an
Microsoft (R) Windows Script Host, Version 5.1 fr Windows
Copyright (C) Microsoft Corporation 1996-1999. Alle Rechte vorbehalten.

Connecting to Active Directory
Connecting to Webserver
create homedirectory
create homedirectory/Webdirectory
create user
set user properties
create IIS virtual Directory
set IIS Virtual Directory properties
change permissions for homedirectory
change permissions for homedirectory\Webdirectory
Releasing lock
rfhs8012#
rfhs8012# finger duh12345
Login name: duh12345                    In real life: Heinz Dummy
Directory: /home2/student/duh12345      Shell: /soft/bin/tcsh
Never logged in.
No unread mail
No Plan.
rfhs8012#
rfhs8012# alias getpwnam
perl -e '$,="\n"; @a=getpwnam($ARGV[0]); print @a,"";'
rfhs8012# getpwnam duh12345
duh12345
oQfro16/0POtE
12345
100

Heinz Dummy
Heinz Dummy
/home2/student/duh12345
/soft/bin/tcsh

10.3.2 Dateien

adduser:

perl-Script, das einen NIS-Benutzer anlegt, die NIS-Maps neu baut, das Home-Verzeichnis aufsetzt, Quotas setzt, und diverse Extras (Oracle, win2k, ...) aufsetzt

misc/backup.pm:

Routine um ein numeriertes Backup einer Datei zu machen, wird für /var/yp/passwd benötigt

misc/lock.pm:

Locking-Routinen, um das gegenseitige Überschreiben von /var/yp/passwd (etc.) zu verhindern, wenn mehrere adduser-Aufrufe gleichzeitig stattfinden

misc/writelogfile.pm:

Zentrale Logging-Routine, um Aktionen der Benutzerverwaltung zu protokollieren

adduser.netscape:

Vermerkt in den Netscape-Preferences, dass der Lizenz-Dialog bereits bestätigt wurde - verhindert die Abfrage beim ersten Start/Einloggen.

adduser.Oracle:

Legt einen Benutzer in der Oracle-Datenbank auf der rfhs8012 an

adduser.mysql:

Legt einen Benutzer in der MySQL-Datenbank auf der rfhs8012 an

adduser.win2k:

Legt den Benutzer auf dem bt-win2k-Server an - ruft VisualBasic-Script "adduser.vbs" auf, das den User anlegt

adduser.vbs:

Visual-Basic Script, das die eigentliche Arbeit unter Windows 2000 erledigt - wird via rsh aufgerufen

Literatur

• [Stevens-APUE] S. 145ff (System Data Files and Information)
• [Handschuch] S. 399ff (Systemdateien und Systemkonfiguration)
• [Nemeth] S. 76ff (Adding New Users)
• [Frisch] S. 96ff (User Accounts)
• [Wall]
• [Mayer] S. 705ff (Perl)