Nächste Überarbeitung | Vorhergehende Überarbeitung |
gruppen [2009/01/23 14:52] – angelegt gerald | gruppen [2024/02/29 13:36] (aktuell) – Externe Bearbeitung 127.0.0.1 |
---|
====== Gruppen / Gruppenverwaltung unter Unix ====== | ===== Gruppen / Gruppenverwaltung unter Unix ===== |
| |
Quelle((http://de.linwiki.org/wiki/Linuxfibel_-_System-Administration_-_Gruppenverwaltung)) | Quelle((http://de.linwiki.org/wiki/Linuxfibel_-_System-Administration_-_Gruppenverwaltung)) |
| |
| |
==Übersicht== | ====Übersicht==== |
| |
Berechtigungen beim Zugriff auf Dateien (Verzeichnisse, Geräte usw. sind bekanntlich nur spezielle Varianten von Dateien) werden unter Unix in drei »Ebenen« vergeben. Da wäre der Besitzer einer Datei, der letztlich selbst über die Rechte des Zugriffs entscheidet. Diesen Befugnissen für eine einzelne Person stehen die »Weltrechte« gegenüber, die bestimmen, was alle »Nicht-Besitzer« mit der Datei anstellen dürfen. Natürlich existieren genügend Szenarien, in denen Rechte weder exklusiv einer Person zugeordnet, noch jedermann gewährt werden sollten. Genau diese Beschränkung der Rechte auf einen bestimmten Personenkreis kann über Gruppen geregelt werden, indem die betreffende Datei einer konkreten Gruppe gehört, deren Mitglieder die befugten Personen umfassen. | Berechtigungen beim Zugriff auf Dateien (Verzeichnisse, Geräte usw. sind bekanntlich nur spezielle Varianten von Dateien) werden unter Unix in drei »Ebenen« vergeben. Da wäre der Besitzer einer Datei, der letztlich selbst über die Rechte des Zugriffs entscheidet. Diesen Befugnissen für eine einzelne Person stehen die »Weltrechte« gegenüber, die bestimmen, was alle »Nicht-Besitzer« mit der Datei anstellen dürfen. Natürlich existieren genügend Szenarien, in denen Rechte weder exklusiv einer Person zugeordnet, noch jedermann gewährt werden sollten. Genau diese Beschränkung der Rechte auf einen bestimmten Personenkreis kann über Gruppen geregelt werden, indem die betreffende Datei einer konkreten Gruppe gehört, deren Mitglieder die befugten Personen umfassen. |
Die Zugehörigkeit von Benutzern zu einer Gruppe kann auf mehreren Wegen erfolgen. Zum einen wird durch den Gruppeneintrag in der Datei [[Linuxfibel - System-Administration - Nutzerverwaltung#Die Datei /etc/passwd|/etc/passwd]] die Default-Gruppe eines Benutzers bestimmt. Legt dieser Benutzer z.B. eine neue Datei an, wird diese zunächst dieser Gruppe gehören. Soll ein Benutzer mehreren Gruppen angehören, so ist er in die Liste der Gruppenmitglieder der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] aufzunehmen. Ein Benutzer kann dann für die Dauer der aktuellen Sitzung eine dieser Gruppen zu seiner Default-Gruppe ernennen. Und schließlich besteht die Möglichkeit, eine Gruppe durch ein Passwort zu schützen. In diesem Fall darf jeder Mitglied der Gruppe werden, der das Passwort kennt. | Die Zugehörigkeit von Benutzern zu einer Gruppe kann auf mehreren Wegen erfolgen. Zum einen wird durch den Gruppeneintrag in der Datei [[Linuxfibel - System-Administration - Nutzerverwaltung#Die Datei /etc/passwd|/etc/passwd]] die Default-Gruppe eines Benutzers bestimmt. Legt dieser Benutzer z.B. eine neue Datei an, wird diese zunächst dieser Gruppe gehören. Soll ein Benutzer mehreren Gruppen angehören, so ist er in die Liste der Gruppenmitglieder der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] aufzunehmen. Ein Benutzer kann dann für die Dauer der aktuellen Sitzung eine dieser Gruppen zu seiner Default-Gruppe ernennen. Und schließlich besteht die Möglichkeit, eine Gruppe durch ein Passwort zu schützen. In diesem Fall darf jeder Mitglied der Gruppe werden, der das Passwort kennt. |
| |
==Die Datei /etc/group== | ====Die Datei /etc/group==== |
| |
In dieser Datei befinden sich die verschiedene Benutzergruppen und ihre Mitglieder. Ein Eintrag besitzt folgenden Aufbau: | In dieser Datei befinden sich die verschiedene Benutzergruppen und ihre Mitglieder. Ein Eintrag besitzt folgenden Aufbau: |
Die Passwortabfrage entfällt für Gruppenmitglieder. Passwörter werden bei Verwendung des Shadow-Passwort-Systems (dieses verwenden alle aktuellen Distributionen) in der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/gshadow|/etc/gshadow]] gespeichert. | Die Passwortabfrage entfällt für Gruppenmitglieder. Passwörter werden bei Verwendung des Shadow-Passwort-Systems (dieses verwenden alle aktuellen Distributionen) in der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/gshadow|/etc/gshadow]] gespeichert. |
| |
==Die Datei /etc/gshadow== | ====Die Datei /etc/gshadow==== |
| |
Anstatt Gruppenpasswörter und -mitglieder in der für alle lesbaren Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] zu speichern, werden bei Verwendung von Shadow-Passwort-Systemen diese in der nur für Root lesbaren Datei »/etc/gshadow« gehalten. Der Aufbau eines Eintrages besitzt folgendes Format: | Anstatt Gruppenpasswörter und -mitglieder in der für alle lesbaren Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] zu speichern, werden bei Verwendung von Shadow-Passwort-Systemen diese in der nur für Root lesbaren Datei »/etc/gshadow« gehalten. Der Aufbau eines Eintrages besitzt folgendes Format: |
Durch Komma getrennte Liste der Nutzerkennzeichen. | Durch Komma getrennte Liste der Nutzerkennzeichen. |
| |
==Konvertieren der Einträge== | ====Konvertieren der Einträge==== |
| |
''Anmerkung:'' Die nachfolgend beschriebenen Programme liegen nicht jeder Distribution bei. Ob sie in Ihrer Version der Shadow-Utilities vorliegen, erkennen Sie anhand der Ausgabe von: | ''Anmerkung:'' Die nachfolgend beschriebenen Programme liegen nicht jeder Distribution bei. Ob sie in Ihrer Version der Shadow-Utilities vorliegen, erkennen Sie anhand der Ausgabe von: |
grpck: no changes</code> | grpck: no changes</code> |
| |
==Anlegen von Gruppen== | ====Anlegen von Gruppen==== |
| |
Das Anlegen neuer Gruppen kann prinzipiell auf drei Wegen erfolgen: | Das Anlegen neuer Gruppen kann prinzipiell auf drei Wegen erfolgen: |
| |
| |
==Löschen von Gruppen== | ====Löschen von Gruppen==== |
| |
===Die Handarbeit=== | ===Die Handarbeit=== |
Das Entfernen kann in den Tools '''userconf''' von RedHat bzw. '''Yast''' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. | Das Entfernen kann in den Tools '''userconf''' von RedHat bzw. '''Yast''' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. |
| |
==Gruppenmitglieder== | ====Gruppenmitglieder==== |
| |
===Die Handarbeit=== | ===Die Handarbeit=== |
Ein Eintrag von Nutzern kann durch Editieren der Gruppeneinträge mit den Tools '''userconf''' von RedHat bzw. ''Yast'' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. | Ein Eintrag von Nutzern kann durch Editieren der Gruppeneinträge mit den Tools '''userconf''' von RedHat bzw. ''Yast'' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. |
| |
==Gruppenwechsel== | ====Gruppenwechsel==== |
| |
Der Wechsel einer Gruppe ist notwendig, falls: | Der Wechsel einer Gruppe ist notwendig, falls: |
In die Gruppe "fibel" kann nun niemand mehr wechseln (alle Mitglieder mit Ausnahme von "root" wurden aus der Liste entfernt.). | In die Gruppe "fibel" kann nun niemand mehr wechseln (alle Mitglieder mit Ausnahme von "root" wurden aus der Liste entfernt.). |
| |
==Gruppenverwalter== | ====Gruppenverwalter==== |
| |
Die Verwaltung aller Gruppen einer einzigen Person aufzubürden, kann diese schnell überfordern. Warum sollte die Mitglieder einer Gruppe, die gemeinsam an einem Programmierprojekt arbeiten, nicht auch der Projektleiter administrieren? | Die Verwaltung aller Gruppen einer einzigen Person aufzubürden, kann diese schnell überfordern. Warum sollte die Mitglieder einer Gruppe, die gemeinsam an einem Programmierprojekt arbeiten, nicht auch der Projektleiter administrieren? |