SUSE Linux Enterprise Server 文档 › 部署指南 › 手动部署 › 使用 YaST 管理用户
内容内容
部署指南
  1. 关于本指南
  2. 1 规划 SUSE Linux Enterprise Server
  3. I 特定于体系结构的安装注意事项
    1. 2 在 AMD64 和 Intel 64 上安装
    2. 3 在 IBM POWER 上安装
    3. 4 在 IBM System z 上安装
  4. II 手动部署
    1. 5 部署策略
    2. 6 使用 YaST 进行安装
    3. 7 更新 SUSE Linux Enterprise
    4. 8 使用 YaST 设置硬件组件
    5. 9 安装或删除软件
    6. 10 安装外接式附件产品
    7. 11 安装多个内核版本
    8. 12 使用 YaST 管理用户
    9. 13 使用 YaST 更改语言和国家/地区设置
    10. 14 远程安装
    11. 15 高级磁盘设置
    12. 16 订阅管理
  5. III 设想和创建产品
    1. 17 使用附加产品创建程序创建附加产品
    2. 18 使用 YaST 产品创建程序创建映像
    3. 19 使用 YaST 映像创建程序创建映像
    4. 20 部署自定义预安装
  6. IV 自动化安装
    1. 21 自动安装
    2. 22 从 SUSE Linux Enterprise 11 SP2 自动升级到 11 SP3
    3. 23 预装载映像的自动部署
  7. A 文档更新
  8. B GNU Licenses
导航
SUSE Linux Enterprise Server 文档 › 部署指南 › 手动部署 › 使用 YaST 管理用户
顶部
适用于 SUSE Linux Enterprise Server 12

12 使用 YaST 管理用户

12.1 用户和组管理对话框
12.2 管理用户帐户
12.3 用户帐户的其他选项
12.4 更改本地用户的默认设置
12.5 将用户指派到组
12.6 管理组
12.7 更改用户身份验证方法

在安装期间,您可为系统创建本地用户。使用 YaST 模块用户和组管理可以添加更多用户,或编辑现有用户。它还可让您配置系统,以便在网络服务器上对用户进行身份验证。

12.1 用户和组管理对话框

要管理用户或组,请启动 YaST 并单击安全和用户 › 用户和组管理。或者,通过从命令行运行 sudo yast2 users & 来直接启动用户和组管理对话框。

YaST 用户和组管理
图 12.1 YaST 用户和组管理

每个用户都指派有一个系统范围的用户 ID (UID)。除了可以登录到您的计算机的用户之外,还存在一些仅供内部使用的系统用户。每位用户都会被指派到一个或多个组中。与系统用户类似,还存在仅供内部使用的系统组

根据使用此对话框来选择查看和修改的用户集(本地用户,网络用户,系统用户),主窗口会显示若干选项卡。这些选项卡可用于执行以下任务:

管理用户帐户

用户选项卡中,创建、修改、删除或临时禁用用户帐户(如第 12.2 节 “管理用户帐户”所述)。在第 12.3 节 “用户帐户的其他选项”中了解高级选项,例如强制实施口令策略、使用加密的主目录或管理磁盘定额。

更改默认设置

本地用户帐户是根据新用户默认值选项卡中定义的设置来创建的。通过第 12.4 节 “更改本地用户的默认设置”可以了解到如何更改默认组指派或用户主目录的默认路径和访问权限。

将用户指派到组

通过第 12.5 节 “将用户指派到组”可以了解到如何为单个用户更改组指派。

管理组

选项卡中,可以添加、修改或删除现有组。请参见第 12.6 节 “管理组”以获取有关如何进行此操作的信息。

更改用户身份验证方法

如果您的计算机已连接到提供了 NIS 或 LDAP 之类的用户身份验证方法的网络上,您可以在身份验证选项卡上的若干身份验证方法中进行选择。有关更多信息,请参考第 12.7 节 “更改用户身份验证方法”

对于用户和组管理,此对话框提供了类似的功能。通过在此对话框顶部选择适当的选项卡可以轻松地在用户和组管理视图间切换。

过滤器选项可用于定义要修改的用户集或组集:在用户选项卡上,单击设置过滤器,以便根据本地用户LDAP 用户(如果您是使用 LDAP 的网络的一部分)之类的特定类别来查看和编辑用户或组。通过设置过滤器 › 自定义过滤器,您也可以设置和使用自定义过滤器。

此对话框可能并未提供以下所有选项和功能,具体取决于所选的过滤器。

12.2 管理用户帐户

YaST 可让您创建、修改、删除或临时禁用用户帐户。除非您是有经验的用户或管理员,否则不要修改用户帐户。

注意
注意:更改现有用户的用户 ID

文件所有权与用户 ID,而非用户名绑定在一起。用户 ID 更改后,此用户的用户主目录中的文件会自动调整,以反映出此更改。但是,ID 更改后,此用户就不再拥有其在文件系统的其他位置创建的文件的所有权,除非手动更改这些文件的所有权。

通过以下内容可以了解到如何设置默认用户帐户。有关一些进一步的选项(如:自动登录、在不使用密码的情况下登录、设置加密的用户主目录或管理用户和组的定额),请参见第 12.3 节 “用户帐户的其他选项”

过程 12.1 添加或修改用户帐户

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。

  2. 使用设置过滤器定义要管理的用户集。对话框会显示系统用户列表及用户所属的组。

  3. 要修改现有用户选项,请选择某一条目并单击编辑

    要创建新的用户帐户,请单击添加

  4. 在第个张选项卡上输入合适的用户数据,如用户名(用于登录)和密码。这些数据足以创建新用户。如果此时单击确定,系统将自动指派用户 ID 并将根据默认值设置所有其他值。

  5. 如果想调整进一步的细节(如用户 ID 或用户的用户主目录路径),请在细节选项卡上进行此操作。

    如果需要重新定位现有用户的用户主目录,请在该选项卡中输入新的用户主目录路径,并使用移至新位置移动当前用户主目录的内容。否则,不会使用任何的现有数据来创建新的用户主目录。

  6. 要强制用户以常规方式更改密码或设置其他密码选项,请切换到密码设置并调整选项。有关详细信息,请参见第 12.3.2 节 “强制实施密码策略”

  7. 如果已按照需要设置了所有选项,请单击确定

  8. 单击确定以关闭管理对话框并保存更改。此时,新添加的用户可以使用您创建的登录名和密码登录系统。

    或者,如果您想要保存所有更改且不退出使用及群组管理对话框,请单击专家选项 › 立即写入更改

提示
提示:匹配用户 ID

如果便携式计算机上的一个新(本地)用户还需要集成到某一网络环境中,而该用户在这个网络环境中已有用户 ID,则将该(本地)用户 ID 与网络 ID 匹配的操作对这个用户非常有用。这样可确保用户脱机创建的文件的所有权和其直接在网络上创建的文件的所有权相同。

过程 12.2 禁用或删除用户帐户

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。

  2. 要在不删除用户帐户的情况下临时禁用该帐户,请从列表中选择该用户并单击编辑。激活禁用用户登录。再次启用该帐户之前,此用户不能登录您的计算机。

  3. 要删除用户帐户,请从列表中选择该用户并单击删除。选择您是否也要删除用户的用户主目录或是否想保留数据。

12.3 用户帐户的其他选项

除了默认用户帐户的设置,SUSE® Linux Enterprise Server 还提供了更多选项,例如,强制实施口令策略的选项、使用加密主目录的选项,或者为用户和组定义磁盘定额的选项。

12.3.1 自动登录和无密码登录

如果使用的是 GNOME 桌面环境,则可为特定用户配置自动登录,也能为所有用户配置无口令登录。自动登录使用户在引导时自动登录到桌面环境。一次只能为一位用户激活此功能。使用无口令登录可以让用户在登录管理器中输入其用户名后直接登录系统。

警告
警告:安全风险

在多人可以访问的计算机上启用自动登录无密码登录具有一定的安全性风险。无需身份验证,任何用户都能访问您的系统和数据。如果系统包含机密数据,请勿使用此功能。

如果想激活自动登录或无口令登录,请在 YaST 用户和组管理中通过专家选项 › 登录设置来访问这些功能。

12.3.2 强制实施密码策略

在有多个用户的系统上,最好至少强制实施基本的密码安全性策略。用户应该定期更改其密码并使用不能轻易识破的可靠密码。对于本地用户,请执行以下操作:

过程 12.3 配置密码设置

  1. 打开 YaST 用户和组管理对话框并选择用户选项卡。

  2. 选择要更改密码选项的用户并单击编辑

  3. 切换至密码设置选项卡。用户的上次密码更改会显示在该选项卡上。

  4. 要让用户在下次登录时更改其密码,请激活强制密码更改

  5. 要实施密码转换,请设置相同密码的最大有效天数相同密码的最小有效天数

  6. 要在密码失效前提醒用户对其进行更改,请为密码失效前多少天发出警告设置一个数字。

  7. 要限制密码失效后用户可以登录的时间周期,请更改密码失效后仍可登录的天数中的值。

  8. 也可为密码指定某一失效日期。输入格式为 YYYY-MM-DD失效日期

  9. 有关选项和默认值的更多信息,请单击帮助

  10. 单击确定应用您的更改。

12.3.3 管理加密的用户主目录

要在失窃和硬盘被卸下的情况下保护用户主目录中的数据,可为用户创建加密的用户主目录。这些用户主目录是用 LUKS(Linux 统一密钥设置)加密的,这会为用户生成映像和映像密钥。映像密钥受用户的登录密码保护。用户登录系统时,会装入加密的用户主目录,且该用户可以使用内容。

使用 YaST 可以为新用户或现有用户创建加密的主目录。要对现有用户的用户主目录加密或修改其加密的用户主目录,需要知道该用户的当前登录密码。默认情况下,所有现有用户数据都会复制到新的加密用户主目录中,但是不会从未加密的目录中删除这些数据。

警告
警告:安全性限制

对用户主目录加密并不能对其他用户的访问进行高度安全的防御。如果需要高度安全性,则不应物理共享系统。

请在Section “Using Encrypted Home Directories”, Chapter 11, Encrypting Partitions and Files, Security Guide中查找有关加密用户主目录及为了获得更强的安全性而要执行的操作的背景信息。

过程 12.4 创建加密的用户主目录

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。

  2. 要对现有用户的用户主目录加密,请选择该用户并单击编辑

    或者,单击添加以创建新的用户帐户并在第一个选项卡上输入适当的用户数据。

  3. 细节选项卡中,激活使用加密用户主目录。使用目录大小 (MB) 指定要为该用户创建的加密映像文件的大小。

  4. 单击确定应用您的设置。

  5. 如果 YaST 提示需要用户的当前登录口令,请输入该口令以继续。

  6. 单击确定以关闭管理对话框并保存更改。

    或者,如果您想要保存所有更改且不退出使用及群组管理对话框,请单击专家选项 › 立即写入更改

过程 12.5 修改或禁用加密的用户主目录

当然,您也随时可以禁用用户主目录加密或更改映像文件的大小。

  1. 用户视图中打开 YaST 用户和组管理对话框。

  2. 在列表中选择用户并单击编辑

  3. 如果想禁用加密,请切换到细节选项卡并禁用使用加密用户主目录

    如果需要增大或减小该用户的加密映像文件大小,请更改目录大小(以 MB 为单位)

  4. 单击确定应用您的设置。

  5. 如果 YaST 提示需要用户的当前登录口令,请输入该口令以继续。

  6. 单击确定以关闭管理对话框并保存更改。

    或者,如果您想要保存所有更改且不退出使用及群组管理对话框,请单击专家选项 › 立即写入更改

12.3.4 管理定额

为了防止系统容量在没有通知的情况下耗尽,系统管理员可以为用户或组设置定额。可以为一个或多个文件系统定义定额,该定额限制可使用的磁盘空间量和可在该处创建的 inode(索引节点)数。Inode 是文件系统上储存有关普通文件、目录或其他文件系统对象的基本信息的数据结构。其会储存文件系统对象的所有属性(如:用户和组所有权、读权限、写权限或执行权限),但不会储存文件名和内容。

SUSE Linux Enterprise Server 允许使用定额。通常,软定额定义警告级别,处于该级别时会通知用户已接近限制,硬定额定义拒绝写请求的限制。另外,可以定义宽限间隔,使用户或组可以暂时超出定额一定量。

过程 12.6 为分区启用定额支持

为了为某些用户和组配置定额,需要先在 YaST 专家分区程序中为相应的分区启用定额支持。

注意
注意:定额 Btrfs 分区

SUSE Linux Enterprise Server 12 起,Btrfs 分区不再支持定额。

  1. 在 YaST 中,选择系统 › 分区程序并单击以继续。

  2. 专家分区程序中,选择要启用定额的分区并单击编辑

  3. 单击 Fstab 选项并激活启用定额支持。如果 quota 包尚未安装,当您使用确认相应的消息时就会安装该包。

  4. 确认您的更改,然后离开专家分区程序

  5. 输入以下命令确保 quotaon 服务正在运行: 

    systemctl status quotaon.service

    它应该标记为处于 active 状态。如果情况并非如此,请使用命令 systemctl start quotaon.service 启动该服务。

过程 12.7 为用户或组设置定额

现在,您可以为特定用户或组设置软定额或硬定额,并可设置时间周期作为宽限间隔。

  1. 在 YaST 用户和组管理中,选择想要设置定额的用户或组并单击编辑

  2. 插件选项卡上,选择管理用户定额项,并单击起动打开定额配置对话框。

  3. 文件系统中,选择应应用定额的分区。

  4. 大小限制下,限制磁盘空间量。请输入用户或组在此分区上可拥有的大小为 1 KB 的块数。指定软限制硬限制值。

  5. 另外,也可限制用户或组在分区上可拥有的 inode 数。在 Inode 限制中,输入软限制硬限制

  6. 仅当用户或组已超出指定的大小或 inode 软限制时,才能定义宽限间隔。否则,与时间有关的文本框不会处于激活状态。指定允许用户或组超出以上设置的限制的时间周期。

  7. 单击确定确认您的设置。

  8. 单击确定以关闭管理对话框并保存更改。

    或者,如果您想要保存所有更改且不退出使用及群组管理对话框,请单击专家选项 › 立即写入更改

SUSE Linux Enterprise Server 还随附了命令行工具(如 repquotawarnquota),系统管理员可以使用这些工具控制磁盘用量或向超出定额的用户发送电子邮件通知。使用 quota_nld,管理员也可向 D-BUS 转发与已超出的定额有关的内核消息。有关更多信息,请参见 repquotawarnquotaquota_nld 手册页。

12.4 更改本地用户的默认设置

创建新的本地用户时,YaST 将使用几个默认设置。例如,这些设置包括用户所属的主组和次组或用户的用户主目录访问权限。您可以更改这些默认设置来满足要求:

  1. 打开 YaST 用户和组管理对话框并选择新用户默认值选项卡。

  2. 要更改新用户应自动归入的主组,请从默认组中选择另一个组。

  3. 要修改新用户的次组,请在次要组中添加或更改组。组名必须用逗号隔开。

  4. 如果不想使用 /home/username 作为新用户的用户主目录默认路径,请修改用户主目录路径前缀

  5. 要更改新建用户主目录的默认许可权限模式,请调整用户主目录的 Umask 中的 umask 值。有关 umask 的更多信息,请参见Chapter 10, Access Control Lists in Linux, Security Guideumask 手册页。

  6. 有关各个选项的信息,请单击帮助

  7. 单击确定应用您的更改。

12.5 将用户指派到组

根据可从用户和组管理对话框的新用户默认值选项卡中访问的默认设置,会将本地用户指派到若干个组中。通过以下内容可以了解到修改单个用户的组指派的方法。如需更改新用户的默认组指派,请参见第 12.4 节 “更改本地用户的默认设置”

过程 12.8 更改用户的组指派

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。将显示用户列表和用户所属组的列表。

  2. 单击编辑并切换到细节选项卡。

  3. 要更改用户所属的主组,请单击默认组并从列表中选择该组。

  4. 要将用户指派给其他次组,请在其他组列表中激活对应的复选框。

  5. 单击确定以应用您的更改。

  6. 单击确定以关闭管理对话框并保存更改。

    或者,如果您想要保存所有更改且不退出使用及群组管理对话框,请单击专家选项 › 立即写入更改

12.6 管理组

使用 YaST 还能轻松添加、修改或删除组。

过程 12.9 创建和修改组

  1. 打开 YaST 用户和组管理对话框并单击选项卡。

  2. 使用设置过滤器定义想要管理的组集。该对话框会显示系统中存在的组的列表。

  3. 要创建新组,请单击添加

  4. 要修改现有组,请选择该组并单击编辑

  5. 在以下对话框中,输入或更改数据。右侧列表显示了可以成为该组成员的所有可用用户和系统用户的概述。

  6. 要将现有用户添加到新组中,请通过选中对应的框来从可能的组成员列表中选择这些用户。要从组中去除这些用户,请停用对应的框。

  7. 单击确定以应用您的更改。

  8. 单击确定以关闭管理对话框并保存更改。

    或者,如果您想要保存所有更改且不退出使用及群组管理对话框,请单击专家选项 › 立即写入更改

要删除该组,其中不得包含任何组成员。要删除某个组,请从列表中选择该组并单击删除。单击确定以关闭管理对话框并保存更改。或者,如果您想要保存所有更改且不退出使用及群组管理对话框,请单击专家选项 › 立即写入更改

12.7 更改用户身份验证方法

如果计算机已连接到网络,您可以更改身份验证方法。下列选项可用:

NIS

在 NIS 服务器上对网络中的所有系统进行集中用户管理。有关细节,请参见Chapter 3, Using NIS, Security Guide

LDAP

在 LDAP 服务器上对网络中的所有系统进行集中用户管理。有关 LDAP 的细节,请参见Chapter 5, LDAP—A Directory Service, Security Guide

可以使用 YaST 用户模块管理 LDAP 用户。所有其他 LDAP 设置(包括 LDAP 用户的默认设置)都需要使用 YaST LDAP 客户端模块来定义,如Section “Configuring an Authentication Client with YaST (SSSD)”, Chapter 4, Authentication Server and Client, Security Guide中所述。

Kerberos

如果使用 Kerberos,用户一旦注册,在剩下的会话期间整个网络都会信任该用户。

Samba

在 Linux 和 Windows 混用的网络中经常使用 SMB 身份验证。有关细节,请参见第 25 章 Samba, 管理指南

要更改身份验证方法,请执行以下操作:

  1. 打开 YaST 中的用户和组管理对话框。

  2. 单击身份验证设置选项卡以显示可用身份验证方法和当前设置的概述。

  3. 要更改身份验证方法,请单击配置并选择想要修改的身份验证方法。随后您将直接转到 YaST 中的客户端配置模块。有关相应客户端配置的信息,请参见以下部分:

    NIS:.  Section “Configuring NIS Clients”, Chapter 3, Using NIS, Security Guide

    LDAP:.  Section “Configuring an Authentication Client with YaST (SSSD)”, Chapter 4, Authentication Server and Client, Security Guide

    Samba:.  第 25.5.1 节 “使用 YaST 配置 Samba 客户机”, 第 25 章 Samba, 管理指南

  4. 接受配置后,请返回到用户和组管理概述。

  5. 单击确定以关闭管理对话框。

第 13 章 使用 YaST 更改语言和国家/地区设置第 11 章 安装多个内核版本
打印此页

© 2017 SUSE