用户管理器 允许你查看、修改、添加和删除本地用户和组群。
要使用 用户管理器 ,你必须运行 X 窗口系统,具备根特权,并且安装了 redhat-config-users RPM 软件包。要从桌面启动 用户管理器 ,点击面板上的 「主菜单」 => 「系统设置」 => 「用户和组群」 ,或在 shell 提示(如 XTerm 或 GNOME 终端)下键入 redhat-config-users 命令。
图 25-1. Red Hat 用户管理器
要查看包括系统内全部本地用户的列表,点击 「用户」 标签。要查看包括系统内全部本地组群的列表,点击 「组群」 标签。
如果你需要寻找指定的用户或组群,在 「搜索过滤器」 字段内键入名称的前几个字符。按 [Enter] 键或点击 「应用过滤器」 按钮。被过滤的列表就会被显示。
要给用户和组群排序,点击列名。用户或组群就会按照该列的信息被排序。
Red Hat Linux 把 500 以下的用户 ID 保留给系统用户。 用户管理器 默认不显示系统用户。要查看包括系统用户在内的所有用户,从下拉菜单中取消选择 「首选项」 => 「过滤系统用户和组群」 。
关于用户和组群的额外信息,请参阅 《Red Hat Linux 参考指南》 以及 《Red Hat Linux 系统管理启蒙手册》 .
25.1. 添加新用户 要添加新用户,点击 「添加用户」 按钮。一个如图 25-2所示的窗口就会出现。在适当的字段内键入新用户的用户名和全称。在 「口令」 和 「确认口令」 字段内键入口令。口令必须至少有六个字符。
窍门:用户的口令越长,其他人就越不容易猜到这个口令,从而不经许可地登录到用户的账号中。我们还建议你不要根据现成词组来选择口令,口令最好是字母、数字和特殊字符的组合。
选择一个登录 shell。如果你不能确定应该选择哪一个 shell,就请接受默认的 /bin/bash 。默认的主目录是 /home/ 用户名 。你可以改变为用户创建的主目录,或者通过取消选择 「创建主目录」 来不为用户创建主目录。
如果你选择要创建主目录,默认的配置文件就会从 /etc/skel 目录中复制到新的主目录中。
Red Hat Linux 使用 用户私人组群(user private group,UPG) 方案。 UPG 方案并不添加或改变 UNIX 处理组群的标准方法;它只不过提供了一个新约定。按照默认设置,每当你创建一个新用户的时候,一个与用户名相同的独特组群就会被创建。如果你不想创建这个组群,取消选择 「为该用户创建私人组群」 。
要为用户指定用户 ID,选择 「手工指定用户 ID」 。如果这个选项没有被选,从号码 500 开始后的下一个可用用户 ID 就会被分派给新用户。Red Hat Linux 把低于 500 的用户 ID 保留给系统用户。
点击 「确定」 来创建该用户。
图 25-2. 创建新用户
要配置更高级的用户属性(譬如口令过期),或在添加用户后修改用户属性,请参阅第 25.2 节。
要把用户加入到更多的用户组群中,点击 「用户」 标签,选择该用户,然后点击 「属性」 。在 「用户属性」 窗口中,选择 「组群」 标签。选择你想让该用户加入的组群,以及用户的主要组群,然后点击 「确定」 。
25.2. 修改用户属性 要查看某个现存用户的属性,点击 「用户」 标签,从用户列表中选择该用户,然后在按钮菜单中点击 「属性」 (或者从下拉菜单中选择 「行动」 => 「属性」 )。一个类似图 25-3 的窗口就会出现。
图 25-3. 用户属性
「用户属性」 窗口被分隔成多个带标签的活页:
「用户数据」 — 显示在你添加用户时配置的基本用户信息。使用这个标签来改变用户的全称、口令、主目录或登录 shell。
「账号信息」 — 如果你想让账号到达某一固定日期时过期,选择 「启用账号过期」 。在提供的字段内输入日期。 选择 「用户账号已被锁」 来锁住用户账号,从而使用户无法在系统登录。
「口令信息」 — 这个标签显示了用户口令最后一次被改变的日期。要强制用户在一定天数之后改变口令,选择 「启用口令过期」 。你还可以设置允许用户改变口令之前要经过的天数,用户被警告去改变口令之前要经过的天数,以及账号变为不活跃之前要经过的天数。
组群 — 选择你想让用户加入的组群以及用户的主要组群。
25.3. 添加新组群 要添加新用户组群,点击 「添加组群」 按钮。一个类似图 25-4的窗口就会出现。键入新组群的名称来创建。要为新组群指定组群 ID,选择 「手工指定组群 ID」 ,然后选择 GID。Red Hat Linux 把 低于 500 的组群 ID 保留给系统组群。
点击 「确定」 来创建组群。新组群就会出现在组群列表中。
图 25-4. 创建新组群
要在组群中添加用户,请参阅第 25.4 节。
25.4. 修改组群属性 要查看某一现存组群的属性,从组群列表中选择该组群, 然后在按钮菜单中点击 「属性」 (或选择下拉菜单 「文件」 => 属性 )。一个类似图 25-5的窗口就会出现。
图 25-5. 组群属性
「组群用户」 标签显示了哪些用户是组群的成员。选择其他用户来把他们加入到组群中,或取消选择用户来把他们从组群中移除。点击 「确定」 或 「应用」 来修改该组群中的用户。
25.5. 命令行配置 如果你更喜欢使用命令行工具,或者没有安装 X 窗口系统,请参考本章以下各节来配置用户和组群。
25.5.1. 添加用户 要在系统上添加用户:
使用 useradd 命令来创建一个锁定的用户账号:
useradd <username> 使用 passwd 命令,通过指派口令和口令老化规则来给某账号开锁:
passwd <username> useradd 的命令行选项在表 25-1中被列出。
选项 描述 -c comment 用户的注释。 -d home-dir 用来取代默认的 /home/ username 主目录。 -e date 禁用账号的日期,格式为:YYYY-MM-DD -f days 口令过期后,账号禁用前的天数(若指定了 0 ,账号在口令过期后会被立刻禁用。若指定了 -1 ,口令过期后,账号将不会被禁用)。 -g group-name 用户默认组群的组群名或组群号码(该组群在指定前必须存在)。 -G group-list 用户是其中成员的额外组群名或组群号码(默认以外的)列表,用逗号分隔(组群在指定前必须存在)。 -m 若主目录不存在则创建它。 -M 不要创建主目录。 -n 不要为用户创建用户私人组群。 -r 创建一个 UID 小于 500 的不带主目录的系统账号。 -p password 使用 crypt 加密的口令。 -s 用户的登录 shell,默认为 /bin/bash 。 -u uid 用户的 UID,它必须是独特的,且大于 499。 表 25-1. useradd 命令行选项
25.5.2. 添加组群 要给系统添加组群,使用 groupadd 命令:
groupadd <group-name> groupadd 的命令行选择在表 25-2中被列出。
选项 描述 -g gid 组群的 GID,它必须是独特的,且大于 499。 -r 创建小于 500 的系统组群。 -f 若组群已存在,退出并显示错误(组群不会被改变)。如果指定了 -g 和 -f 选项,而组群已存在, -g 选项就会被忽略。 表 25-2. groupadd 命令行选项
25.5.3. 口令老化 为安全起见,要求用户定期改变他们的口令是明智之举。这可以在 用户管理器 的 「口令信息」 标签上添加或编辑用户时做到。
要从 shell 提示下为用户配置口令过期,使用 chage 命令,随后使用表 25-3中的选项,以及用户的用户名。
重要:要使用 chage 命令,屏蔽口令一定要被启用。
选项 描述 -m days 指定用户必须改变口令所间隔的最少天数。如果值为 0,,口令就不会过期。 -M days 指定口令有效的最多天数。当该选项指定的天数加上 -d 选项指定的天数小于当前的日期,用户在使用该账号前就必须改变口令。 -d days 指定自从 1970 年 1 月 1 日起,口令被改变的天数。 -I days 指定口令过期后,账号被锁前不活跃的天数。如果值为 0,账号在口令过期后就不会被锁。 -E date 指定账号被锁的日期,日期格式为 YYYY-MM-DD。若不用日期,也可以使用自 1970 年1月1日后经过的天数。 -W days 指定口令过期前要警告用户的天数。 表 25-3. change 命令行选项
窍门:如果 chage 命令后紧跟着用户名(无其它选项),它会显示当前口令的老化数值并运行这些数值被改变。
如果系统管理员想让用户在首次登录时设置口令,用户的口令可以被设置为立即过期,从而强制用户在首次登录后立即改变它。
要强制用户在首次登录到控制台时配置口令,请遵循以下步骤。注意,若用户使用 SSH 协议来登录,这个过程就行不通。
锁住用户的口令 — 如果用户不存在,使用 useradd 命令来创建这个用户账号,但是不要给它任何口令,所以它仍旧被锁。
如果口令已经被启用,使用下面的命令来锁住它:
usermod -L username 强制即刻口令过期 — 键入下面的命令:
chage -d 0 username 该命令把口令最后一次改变的日期设置为 epoch(1970年1月1)。不管口令过期策略是否存在,这个值会强制口令立即过期
