Riadenie používateľských kont

Používateľské kontá majú atribúty, ktoré sa dajú zmeniť.

Ku každému kontu používateľa je priradená skupina atribútov. Tieto atribúty sa tvoria zo štandardných hodnôt, keď je používateľ vytvorený pomocou príkazu mkuser. Atribúty možno zmeniť príkazom chuser. Toto sú používateľské atribúty, ktoré riadia prihlasovanie a nemajú vzťah ku kvalite hesiel:

account_locked

Ak musí byť konto explicitne uzamknuté, môžete tento atribút nastaviť na hodnotu True; štandardná hodnota je False.

admin

Ak je nastavený na hodnotu True, tento používateľ nemôže zmeniť heslo. Zmeniť ho môže len administrátor.

admgroups

Obsahuje zoznam skupín, pre ktoré má používateľ administratívne práva. V týchto skupinách môže používateľ pridávať alebo mazať členov.

auth1

Metóda autentifikácie používaná na udelenie prístupu používateľovi. Obvykle je nastavený na hodnotu SYSTEM a spôsobí použitie novších metód.

Poznámka: Atribút auth1 je odmietnutý a už by nemal byť použitý.

auth2

Metóda, ktorá sa spúšťa po autentifikácii používateľa spôsobom zadaným v atribúte auth1. Tento atribút neumožňuje blokovanie prístupu k systému. Obvykle je nastavený na hodnotu NONE.

Poznámka: Atribút auth2 je odmietnutý a už by nemal byť použitý.

daemon

Tento boolovský parameter určuje, či používateľ môže spustiť démonov alebo subsystémy pomocou príkazu startsrc. Takisto obmedzuje použitie zariadení cron a at.

login

Špecifikuje, či sa tento používateľ môže prihlasovať. Úspešné prihlásenie resetuje atribút unsuccessful_login_count na hodnotu 0 (zo subrutiny loginsuccess).

logintimes

Obmedzuje čas prihlásenia používateľa. Napríklad, používateľ by mohol mať obmedzený prístup k systému len počas normálnych pracovných hodín.

registry

Určuje register používateľa. môže sa použiť, aby povedal systému o náhradných registroch pre používateľské informácie, ako napríklad NIS, LDAP alebo Kerberos.

rlogin

Určuje, či sa určený používateľ môže prihlásiť pomocou príkazu rlogin alebo telnet. Atribút rlogin riadi iba vzdialené prihlásenie. Informácie o riadení schopnosti spúšťať jednotlivé vzdialené príkazy nájdete v téme rcmds.

su

Určuje, či sa iní užívatelia môžu prepnúť na toto ID príkazom su.

sugroups

Určuje, ktorým skupinám je povolené prepínať sa na toto ID používateľa.

ttys

Ohraničuje isté kontá na fyzicky bezpečné oblasti.

expires

Spravuje študentské alebo hosťovské kontá. Možno ho použiť aj na dočasné vypnutie kont.

loginretries

Určuje maximálny počet následných neúspešných pokusov o prihlásenie pred tým, ako systém zamkne ID používateľa. Neúspešné pokusy sa zaznamenávajú v súbore /etc/security/lastlog.

umask

Určuje úvodný atribút umask pre používateľa.

rcmds

Určuje, či určený používateľ môže spúšťať jednotlivé príkazy prostredníctvom príkazu rsh alebo rexec. Hodnota allow určuje, že používateľ môže spúšťať tieto príkazy prostredníctvom príkazov rsh a rexec. Hodnota deny určuje, že používateľ nemôže vzdialene spúšťať príkazy. Hodnota hostlogincontrol určuje, že spúšťanie vzdialených príkazov sa riadi podľa atribútov hostallowedlogin a hostsdeniedlogin. Informácie o riadení vzdialeného prihlasovania nájdete v téme o atribúte rlogin.

hostallowedlogin

Špecifikuje hostiteľov, ktorí danému používateľovi povoľujú prihlásiť sa. Tento atribút je určený na použitie v sieťovom prostredí, kde atribúty používateľov zdieľa viacero hostiteľov.

hostsdeniedlogin

Špecifikuje hostiteľov, ktorí danému používateľovi nepovoľujú prihlásiť sa. Tento atribút je určený na použitie v sieťovom prostredí, kde atribúty používateľov zdieľa viacero hostiteľov.

maxulogs

Určuje maximálny počet prihlásení na jedného používateľa. Ak používateľ dosiahol maximálny počet povolených prihlásení, prihlásenie bude odmietnuté.

Celá sada používateľských atribútov je definovaná v súboroch /etc/security/user, /etc/security/limits, /etc/security/audit/config a /etc/security/lastlog. Štandardná hodnota pre vytvorenie používateľa pomocou príkazu mkuser je špecifikovaná v súbore /usr/lib/security/mkuser.default. V súbore mkuser.default musia byť špecifikované iba voľby, ktoré vo všeobecných statiach súborov /etc/security/user a /etc/security/limits vyraďujú všeobecné štandardné hodnoty a rovnako tam musia byť špecifikované aj triedy auditu. Niekoľko týchto atribútov riadi, ako sa používateľ môže prihlásiť a možno ich nakonfigurovať tak, aby za určených okolností automaticky zamkli používateľské konto (zabránili ďalšiemu prihlasovaniu).

Keď systém uzamkne používateľské konto kvôli počtu neúspešných pokusov o prihlásenie sa, používateľ sa nebude môcť prihlásiť, kým správca systému neresetuje používateľský atribút unsuccessful_login_count v súbore /etc/security/lastlog na hodnotu, ktorá bude menšia ako hodnota opakovania prihlásenia. To možno vykonať nasledovne pomocou príkazu chsec:

chsec -f /etc/security/lastlog -s menopoužívateľa -a
unsuccessful_login_count=0

Predvolené hodnoty možno zmeniť pomocou príkazu chsec s cieľom upraviť predvolenú stanzu v príslušnom súbore bezpečnosti, napríklad súbore /etc/security/user alebo /etc/security/limits. Mnohé predvolené hodnoty sú definované tak, aby predstavovali štandardné správanie. Ak si želáte atribúty, ktoré sa nastavujú pri vytváraní každého nového používateľa, zadať explicitne, zmeňte položku user v súbore /usr/lib/security/mkuser.default.

Informácie o rozšírených atribútoch hesiel používateľov nájdete v časti Heslá.