MKjanek32
/
PWrEgzaminMgr
Suivre 1
Favoriser 0
Bifurcation 0
Code Tickets 0 Demandes d'ajout 0 Versions 0 Wiki Activité
Opracowanie pytań na egzamin magisterski
Vous ne pouvez pas sélectionner plus de 25 sujets Les noms de sujets doivent commencer par une lettre ou un nombre, peuvent contenir des tirets ('-') et peuvent comporter jusqu'à 35 caractères.
5 Révisions
1 Branche
Aborescence: 398f2f581b
Branches Tags
${ item.name }
Créer la branche ${ searchTerm }
de '398f2f581b'
${ noResults }
PWrEgzaminMgr/W4-INF-ISK-mgr.md

W4-INF-ISK-mgr.md 5.3KB
Historique Brut

Zarządzanie użytkownikami i grupami w systemie Linux

W systemie Linux, podobnie jak we wszystkich systemach uniksowych, każdy użytkownik posiada unikalny numer UID, a każda grupa numer GID (przy czym przyjmuje się, że numery poniżej 1000 są zarezerwowane dla użytkowników i grup systemowych). Do grupy mogą należeć tylko użytkownicy – nie mogą należeć do nich inne grupy. Użytkownik jest przypisany do określonej grupy bazowej, poza którą może też należeć do innych grup (co wykorzystuje się do przydzielania uprawnień do różnych zasobów systemu). Dodatkowo, użytkownik posiada przypisany katalog domowy, przeznaczony na przechowywanie swoich plików (zazwyczaj znajdujący się w katalogu /home), a także powłokę używaną po zalogowaniu do pracy z linią komend.

Podstawowym miejscem przechowywania danych o użytkownikach i grupach są pliki tekstowe:

  • /etc/passwd – baza użytkowników,
  • /etc/group – baza grup,
  • /etc/shadow – baza haseł użytkowników (właściwie hashy haseł).

Najprostszym możliwym sposobem zarządzania użytkownikami i grupami jest ręczna edycja tych plików w edytorze tekstu. Sposób ten jest mało wygodny i zwykle nie zaleca się go z powodu możliwości popełnienia błędów składniowych, ale może czasami być przydatny (np. w razie awarii systemu, czy też przenoszenia bazy kont między systemami) i warto o nim pamiętać. Najczęściej do zarządzania użytkownikami i grupami używa się poleceń:

  • useradd, userdel, usermod i analogiczne dla grup – polecenia nieinteraktywne o dość rozbudowanej składni parametrów, zainstalowane domyślnie w prawie każdej dystrybucji,
  • adduser, deluser i analogiczne dla grup – polecenia interaktywne przeznaczone dla mniej doświadczonych osób, ale nie wszędzie domyślnie zainstalowane,
  • passwd – polecenie do zmiany hasła bieżącego użytkownika (domyślnie) lub dowolnego użytkownika określonego jako parametr (w przypadku administratora).

Dodatkowo, oprócz opisanych wcześniej plików, system może korzystać z innej bazy kont – np. na serwerze LDAP (rozwiązanie podobne do domeny Active Directory w przypadku systemu Windows).

W systemie zawsze istnieje użytkownik root – administrator, który posiada wszystkie możliwe uprawnienia (przysłowie ang. root or god, no difference at all). Ze względu na tę wszechmoc oczywiście nie powinno się konta roota używać do pracy na co dzień, tylko w razie potrzeby ;-)
Innym użytkownikom (lub grupom) uprawnienia administracyjne można przyznawać za pomocą programu sudo – na równi z rootem lub w ograniczonym zakresie (np. do wykonywania określonych poleceń).

Usługi katalogowe systemu Windows Server 20xx

System Windows posiada własną implementację usług katalogowych pod nazwą Active Directory. Umożliwa ona grupowanie komputerów w domeny Windows i scentralizowaną administrację połączonymi w ten sposób maszynami. Bazuje na 3 protokołach: LDAP, Kerberos i DNS.

Na wszystkich komputerach włączonych w domenę można logować się za pomocą tych samych kont, przechowywanych na serwerze pełniącym rolę kontrolera domeny (w celu zapewnienia redundancji, takich serwerów może być kilka). Tych samych danych można też używać, aby zapewnić dostęp do zasobów udostępnionych w domenie, np. katalogów sieciowych lub drukarek, a dzięki wykorzystaniu pojedynczego uwierzytelnienia (ang. SSO), hasło wystarczy podać tylko raz przy logowaniu do systemu. Z kolei dzięki zintegrowaniu z kontrolerem domeny serwera DNS, do komputerów wchodzących w skład domeny można odwoływać się za pomocą adresów domenowych zamiast adresów IP. Centralne logowanie można również rozszerzyć o przechowywany na serwerze profil użytkownika (profil mobilny).

Jednym z podstawowych celów tworzenia domen Active Directory jest kontrola uprawnień użytkowników – i ona w AD jest mocno rozbudowana. Możliwe jest między innymi:

  • przydzielanie lub odmawianie dostępu użytkownikom do konkretnych komputerów i zasobów wchodzących w skład domeny,
  • kontrolowanie uprawnień użytkowników w systemie oraz centralna konfiguracja wielu ustawień systemu operacyjnego na komputerach w domenie (za pomocą zasad grupowych),
  • logiczne grupowanie zasobów według dowolnych kryteriów w hierarchię jednostek organizacyjnych,
  • delegowanie kontroli administracyjnej nad domeną lub poszczególnymi jednostkami organizacyjnymi określonym użytkownikom.

Pomiędzy różnymi domenami Active Directory można definiować jednostronne lub dwustronne relacje zaufania, aby umożliwić użytkownikom jednej domeny dostęp do zasobów innej. Domeny można też hierarchicznie łączyć w drzewo, wtedy relacje zaufania są tworzone automatycznie.

Do domeny mogą należeć komputery z systemem operacyjnym Windows od wersji 2000, w edycji przeznaczonej do użytku w firmach (wersje z licencją przeznaczoną do użytku domowego są pozbawione tej funkcjonalności), a po odpowiednim skonfigurowaniu usługi Active Directory – także komputery z systemami Linux lub Unix. Kontrolerem domeny może być komputer z systemem Windows Server również od wersji 2000, albo komputer z systemem Linux i zainstalowanym serwerem Samba 4 (wariant alternatywny, w całości bazujący na oprogramowaniu otwartoźródłowym).