Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
gruppen [2009/01/23 14:54] – gerald | gruppen [2024/02/29 13:36] (aktuell) – Externe Bearbeitung 127.0.0.1 |
---|
====== Gruppen / Gruppenverwaltung unter Unix ====== | ===== Gruppen / Gruppenverwaltung unter Unix ===== |
| |
Quelle((http://de.linwiki.org/wiki/Linuxfibel_-_System-Administration_-_Gruppenverwaltung)) | Quelle((http://de.linwiki.org/wiki/Linuxfibel_-_System-Administration_-_Gruppenverwaltung)) |
Die Zugehörigkeit von Benutzern zu einer Gruppe kann auf mehreren Wegen erfolgen. Zum einen wird durch den Gruppeneintrag in der Datei [[Linuxfibel - System-Administration - Nutzerverwaltung#Die Datei /etc/passwd|/etc/passwd]] die Default-Gruppe eines Benutzers bestimmt. Legt dieser Benutzer z.B. eine neue Datei an, wird diese zunächst dieser Gruppe gehören. Soll ein Benutzer mehreren Gruppen angehören, so ist er in die Liste der Gruppenmitglieder der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] aufzunehmen. Ein Benutzer kann dann für die Dauer der aktuellen Sitzung eine dieser Gruppen zu seiner Default-Gruppe ernennen. Und schließlich besteht die Möglichkeit, eine Gruppe durch ein Passwort zu schützen. In diesem Fall darf jeder Mitglied der Gruppe werden, der das Passwort kennt. | Die Zugehörigkeit von Benutzern zu einer Gruppe kann auf mehreren Wegen erfolgen. Zum einen wird durch den Gruppeneintrag in der Datei [[Linuxfibel - System-Administration - Nutzerverwaltung#Die Datei /etc/passwd|/etc/passwd]] die Default-Gruppe eines Benutzers bestimmt. Legt dieser Benutzer z.B. eine neue Datei an, wird diese zunächst dieser Gruppe gehören. Soll ein Benutzer mehreren Gruppen angehören, so ist er in die Liste der Gruppenmitglieder der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] aufzunehmen. Ein Benutzer kann dann für die Dauer der aktuellen Sitzung eine dieser Gruppen zu seiner Default-Gruppe ernennen. Und schließlich besteht die Möglichkeit, eine Gruppe durch ein Passwort zu schützen. In diesem Fall darf jeder Mitglied der Gruppe werden, der das Passwort kennt. |
| |
===Die Datei /etc/group=== | ====Die Datei /etc/group==== |
| |
In dieser Datei befinden sich die verschiedene Benutzergruppen und ihre Mitglieder. Ein Eintrag besitzt folgenden Aufbau: | In dieser Datei befinden sich die verschiedene Benutzergruppen und ihre Mitglieder. Ein Eintrag besitzt folgenden Aufbau: |
Die Passwortabfrage entfällt für Gruppenmitglieder. Passwörter werden bei Verwendung des Shadow-Passwort-Systems (dieses verwenden alle aktuellen Distributionen) in der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/gshadow|/etc/gshadow]] gespeichert. | Die Passwortabfrage entfällt für Gruppenmitglieder. Passwörter werden bei Verwendung des Shadow-Passwort-Systems (dieses verwenden alle aktuellen Distributionen) in der Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/gshadow|/etc/gshadow]] gespeichert. |
| |
===Die Datei /etc/gshadow=== | ====Die Datei /etc/gshadow==== |
| |
Anstatt Gruppenpasswörter und -mitglieder in der für alle lesbaren Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] zu speichern, werden bei Verwendung von Shadow-Passwort-Systemen diese in der nur für Root lesbaren Datei »/etc/gshadow« gehalten. Der Aufbau eines Eintrages besitzt folgendes Format: | Anstatt Gruppenpasswörter und -mitglieder in der für alle lesbaren Datei [[Linuxfibel - System-Administration - Gruppenverwaltung#Die Datei /etc/group|/etc/group]] zu speichern, werden bei Verwendung von Shadow-Passwort-Systemen diese in der nur für Root lesbaren Datei »/etc/gshadow« gehalten. Der Aufbau eines Eintrages besitzt folgendes Format: |
Durch Komma getrennte Liste der Nutzerkennzeichen. | Durch Komma getrennte Liste der Nutzerkennzeichen. |
| |
===Konvertieren der Einträge=== | ====Konvertieren der Einträge==== |
| |
''Anmerkung:'' Die nachfolgend beschriebenen Programme liegen nicht jeder Distribution bei. Ob sie in Ihrer Version der Shadow-Utilities vorliegen, erkennen Sie anhand der Ausgabe von: | ''Anmerkung:'' Die nachfolgend beschriebenen Programme liegen nicht jeder Distribution bei. Ob sie in Ihrer Version der Shadow-Utilities vorliegen, erkennen Sie anhand der Ausgabe von: |
grpck: no changes</code> | grpck: no changes</code> |
| |
===Anlegen von Gruppen=== | ====Anlegen von Gruppen==== |
| |
Das Anlegen neuer Gruppen kann prinzipiell auf drei Wegen erfolgen: | Das Anlegen neuer Gruppen kann prinzipiell auf drei Wegen erfolgen: |
* durch Verwendung distributionseigener Verwaltungstools | * durch Verwendung distributionseigener Verwaltungstools |
| |
==Die Handarbeit== | ===Die Handarbeit=== |
| |
1. Der Systemverwalter bearbeitet die Datei /etc/group. Als Editor ist das Kommando '''vigr''' zu empfehlen (falls installiert), da sich das Kommando selbsttätig um die Dateisperre kümmert. Welcher Editor sich hinter dem Aufruf verbirgt, kann durch Setzen der Shellvariablen "$VISUAL" bzw. "$EDITOR" (Auswertung in dieser Reihenfolge) gesteuert werden. Erst wenn beide Variablen nicht gesetzt sind, wird auf den [[Linuxfibel - Unix-Werkzeuge - Vi|vi]] zurück gegriffen. | 1. Der Systemverwalter bearbeitet die Datei /etc/group. Als Editor ist das Kommando '''vigr''' zu empfehlen (falls installiert), da sich das Kommando selbsttätig um die Dateisperre kümmert. Welcher Editor sich hinter dem Aufruf verbirgt, kann durch Setzen der Shellvariablen "$VISUAL" bzw. "$EDITOR" (Auswertung in dieser Reihenfolge) gesteuert werden. Erst wenn beide Variablen nicht gesetzt sind, wird auf den [[Linuxfibel - Unix-Werkzeuge - Vi|vi]] zurück gegriffen. |
4. Die Gruppenmitglieder sind anzulegen (siehe [[Linuxfibel - System-Administration - Gruppenverwaltung#Gruppenmitglieder|Gruppenmitglieder]]). | 4. Die Gruppenmitglieder sind anzulegen (siehe [[Linuxfibel - System-Administration - Gruppenverwaltung#Gruppenmitglieder|Gruppenmitglieder]]). |
| |
==Allgemeine Werkzeuge== | ===Allgemeine Werkzeuge=== |
| |
Auf Systemen mit traditioneller Passwort-Verwaltung heißt das benötigte Kommando '''addgroup'''. Seine Bedienung ist analog dem nachfolgend diskutiertem '''groupadd''', das auf Systemen mit Shadow-Passwort-Verwaltung eingesetzt wird. Letzteres Kommando nimmt automatisch die notwendigen Änderungen in der Datei /etc/gshadow vor. | Auf Systemen mit traditioneller Passwort-Verwaltung heißt das benötigte Kommando '''addgroup'''. Seine Bedienung ist analog dem nachfolgend diskutiertem '''groupadd''', das auf Systemen mit Shadow-Passwort-Verwaltung eingesetzt wird. Letzteres Kommando nimmt automatisch die notwendigen Änderungen in der Datei /etc/gshadow vor. |
| |
| |
===Löschen von Gruppen=== | ====Löschen von Gruppen==== |
| |
==Die Handarbeit== | ===Die Handarbeit=== |
| |
Die Handarbeit läuft auf das manuelle Löschen der entsprechenden Einträge der Dateien /etc/group und /etc/gshadow hinaus. | Die Handarbeit läuft auf das manuelle Löschen der entsprechenden Einträge der Dateien /etc/group und /etc/gshadow hinaus. |
4. Eventuell sollten Sie Dateien im System, die dieser Gruppe gehören, einer anderen Gruppe zuordnen (Siehe [[Linuxfibel - System-Administration - Zugriffsrechte#Besitzer ändern|Systemverwaltung->Zugriffsrechte->Besitzer]] ändern) bzw. solche Dateien entfernen. | 4. Eventuell sollten Sie Dateien im System, die dieser Gruppe gehören, einer anderen Gruppe zuordnen (Siehe [[Linuxfibel - System-Administration - Zugriffsrechte#Besitzer ändern|Systemverwaltung->Zugriffsrechte->Besitzer]] ändern) bzw. solche Dateien entfernen. |
| |
==Allgemeine Werkzeuge== | ===Allgemeine Werkzeuge=== |
| |
In Nicht-Shadow-Passwort-Systemen ist '''delgroup''' das Kommando. Dessen Bedienung erfolgt analog zum Kommando '''groupdel'''. Beide Kommandos erwarten als Argument einzig den Namen der zu löschenden Gruppe. "groupdel" entfernt zusätzlich den Eintrag aus der Shadow-Gruppendatei. | In Nicht-Shadow-Passwort-Systemen ist '''delgroup''' das Kommando. Dessen Bedienung erfolgt analog zum Kommando '''groupdel'''. Beide Kommandos erwarten als Argument einzig den Namen der zu löschenden Gruppe. "groupdel" entfernt zusätzlich den Eintrag aus der Shadow-Gruppendatei. |
Das Entfernen kann in den Tools '''userconf''' von RedHat bzw. '''Yast''' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. | Das Entfernen kann in den Tools '''userconf''' von RedHat bzw. '''Yast''' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. |
| |
===Gruppenmitglieder=== | ====Gruppenmitglieder==== |
| |
==Die Handarbeit== | ===Die Handarbeit=== |
| |
In einem System mit Shadow-Passwort-Verwaltung werden die Nutzerkennzeichen der Mitglieder einfach in das vierte Feld des betreffenden Gruppeneintrags der Datei /etc/gshadow eingetragen. Die einzelnen Einträge sind durch Kommas voneinander zu trennen. Zum Bearbeiten der Datei sollte, falls installiert, das Kommando '''vigr -s''' verwendet werden. | In einem System mit Shadow-Passwort-Verwaltung werden die Nutzerkennzeichen der Mitglieder einfach in das vierte Feld des betreffenden Gruppeneintrags der Datei /etc/gshadow eingetragen. Die einzelnen Einträge sind durch Kommas voneinander zu trennen. Zum Bearbeiten der Datei sollte, falls installiert, das Kommando '''vigr -s''' verwendet werden. |
Bei Systemen ohne Shadow-Passwort-Verwaltung wird die Nutzerliste in das vierte Feld des Eintrages der Datei /etc/gshadow geschrieben. Dort können die Nutzer zwar auch bei Shadow-Systemen stehen, doch ist diese Liste dann für jeden lesbar! | Bei Systemen ohne Shadow-Passwort-Verwaltung wird die Nutzerliste in das vierte Feld des Eintrages der Datei /etc/gshadow geschrieben. Dort können die Nutzer zwar auch bei Shadow-Systemen stehen, doch ist diese Liste dann für jeden lesbar! |
| |
==Allgemeine Werkzeuge== | ===Allgemeine Werkzeuge=== |
| |
Zum Verwalten von Gruppenmitgliedern dient das Kommando '''gpasswd'''. Sowohl Root als auch von ihm ernannte [[Linuxfibel - System-Administration - Gruppenverwaltung#Gruppenverwalter|Gruppenverwalter]] können mit Hilfe von "gpasswd" | Zum Verwalten von Gruppenmitgliedern dient das Kommando '''gpasswd'''. Sowohl Root als auch von ihm ernannte [[Linuxfibel - System-Administration - Gruppenverwaltung#Gruppenverwalter|Gruppenverwalter]] können mit Hilfe von "gpasswd" |
<code> root@sonne> '''gpasswd -R fibel'''</code> | <code> root@sonne> '''gpasswd -R fibel'''</code> |
| |
====Distributionseigene Werkzeuge==== | ===Distributionseigene Werkzeuge=== |
| |
Ein Eintrag von Nutzern kann durch Editieren der Gruppeneinträge mit den Tools '''userconf''' von RedHat bzw. ''Yast'' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. | Ein Eintrag von Nutzern kann durch Editieren der Gruppeneinträge mit den Tools '''userconf''' von RedHat bzw. ''Yast'' (Administration des Systems->Gruppenverwaltung) bei SuSE erfolgen. |
| |
===Gruppenwechsel=== | ====Gruppenwechsel==== |
| |
Der Wechsel einer Gruppe ist notwendig, falls: | Der Wechsel einer Gruppe ist notwendig, falls: |
In die Gruppe "fibel" kann nun niemand mehr wechseln (alle Mitglieder mit Ausnahme von "root" wurden aus der Liste entfernt.). | In die Gruppe "fibel" kann nun niemand mehr wechseln (alle Mitglieder mit Ausnahme von "root" wurden aus der Liste entfernt.). |
| |
==Gruppenverwalter== | ====Gruppenverwalter==== |
| |
Die Verwaltung aller Gruppen einer einzigen Person aufzubürden, kann diese schnell überfordern. Warum sollte die Mitglieder einer Gruppe, die gemeinsam an einem Programmierprojekt arbeiten, nicht auch der Projektleiter administrieren? | Die Verwaltung aller Gruppen einer einzigen Person aufzubürden, kann diese schnell überfordern. Warum sollte die Mitglieder einer Gruppe, die gemeinsam an einem Programmierprojekt arbeiten, nicht auch der Projektleiter administrieren? |