Ein grundlegender Aspekt von Linux ist seine Mehrbenutzerfähigkeit. Somit können verschiedene Benutzer unabhängig voneinander auf demselben Linux-System arbeiten. Jeder Benutzer verfügt über ein Benutzerkonto, das durch einen Anmeldenamen und ein persönliches Passwort für die Anmeldung beim System gekennzeichnet ist. Alle Benutzer verfügen über eigene Home-Verzeichnisse, in denen persönliche Dateien und Konfigurationen gespeichert sind.
Verwenden Sie
+ zum Erstellen und Bearbeiten von Benutzern. Diese Funktion bietet einen Überblick über die Benutzer im System, einschließlich NIS-, LDAP-, Samba- und Kerberos-Benutzern, sofern angefordert. Wenn Sie sich in einem umfangreichen Netzwerk befinden, klicken Sie auf , um alle Benutzer nach Kategorien aufzuführen. Außerdem können Sie die Filtereinstellungen durch Klicken auf anpassen.![]() | Anwenden von Konfigurationsänderungen ohne Schließen des Moduls |
---|---|
Wenn Sie mehrere Konfigurationsänderungen vornehmen müssen und das Benutzer- und Gruppenkonfigurationsmodul nicht für jede einzelne Änderung neu starten möchten, können Sie die Änderungen mit speichern, ohne das Konfigurationsmodul beenden zu müssen. |
Zum Hinzufügen eines neuen Benutzers gehen Sie wie folgt vor:
Klicken Sie auf
.Geben Sie für Schritt 5 fortfahren.
die erforderlichen Daten ein. Wenn Sie keine weiteren detaillierten Einstellungen für diesen Benutzer anpassen müssen, können Sie mitWenn Sie die ID, den Namen für das Home-Verzeichnis, das standardmäßige Home-Verzeichnis, die Gruppe, die Gruppenmitgliedschaften, die Verzeichnisberechtigungen oder die Login-Shell eines Benutzers ändern möchten, öffnen Sie den Karteireiter
und ändern Sie die Standardwerte.Wenn Sie den Ablauf und die Länge für das Passwort bzw. die Ablaufwarnungen für einen Benutzer anpassen möchten, verwenden Sie den Karteireiter
.Schreiben Sie die Konfiguration des Benutzerkontos durch Klicken auf
.Der neue Benutzer kann sich sofort mit dem neu erstellten Anmeldenamen und dem Passwort anmelden.
Gehen Sie zum Löschen eines Benutzers wie folgt vor:
Wählen Sie den Benutzer aus der Liste aus.
Klicken Sie auf
.Legen Sie fest, ob das Home-Verzeichnis des zu löschenden Benutzers gelöscht oder beibehalten werden soll.
Klicken Sie zum Anwenden der Einstellungen auf
.Gehen Sie zum Ändern der Anmeldekonfiguration wie folgt vor:
Wählen Sie den Benutzer aus der Liste aus.
Klicken Sie auf
.Passen Sie die Einstellungen unter
, und an.Speichern Sie die Konfiguration des Benutzerkontos durch Klicken auf
.Während der Erstellung eines Benutzerkontos können Sie ein verschlüsseltes Home-Verzeichnis erstellen. Gehen Sie wie folgt vor, um ein verschlüsseltes Home-Verzeichnis für einen Benutzer zu erstellen:
Klicken Sie auf
.Geben Sie für
die erforderlichen Daten ein.Aktivieren Sie auf dem Karteireiter
die Option .Übernehmen Sie die Einstellungen mit
.Gehen Sie wie folgt vor, um ein verschlüsseltes Home-Verzeichnis für einen bestehenden Benutzer zu erstellen:
Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf
.Aktivieren Sie auf dem Karteireiter
die Option .Geben Sie das Passwort des ausgewählten Benutzers ein.
Übernehmen Sie die Einstellungen mit
.Gehen Sie wie folgt vor, um die Verschlüsselung von Home-Verzeichnissen zu deaktiviern:
Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf
.Deaktivieren Sie auf dem Karteireiter
die Option .Geben Sie das Passwort des ausgewählten Benutzers ein.
Übernehmen Sie die Einstellungen mit
.Weitere Informationen zu verschlüsselten Verzeichnissen finden Sie unter Abschnitt 47.2, „Verwenden von verschlüsselten Home-Verzeichnissen“.
![]() | Verwenden der automatischen Anmeldung |
---|---|
Das Verwenden der Funktion für die automatische Anmeldung auf einem System, auf das physisch von mehreren Personen zugegriffen werden kann, stellt ein potenzielles Sicherheitsrisiko dar. Alle Benutzer, die auf dieses System zugreifen, können die darin enthaltenen Daten ändern. Verwenden Sie die Funktion für die automatische Anmeldung nicht, wenn Ihr System vertrauliche Daten enthält. |
Wenn Sie der einzige Benutzer des Systems sind, können Sie die automatische Anmeldung für das System konfigurieren. Ein Benutzer wird automatisch nach dem Start im System angemeldet. Die Funktion für die automatische Anmeldung kann nur von einem ausgewählten Benutzer verwendet werden. Die automatische Anmeldung kann nur mit KDM oder GDM ausgeführt werden.
Wählen Sie den Benutzer aus der Liste der Benutzer aus und klicken Sie auf
+ , um die automatische Anmeldung zu aktivieren. Wählen Sie dann aus und klicken Sie auf .Wählen Sie zum Deaktivieren dieser Funktion den Benutzer aus und klicken Sie auf
+ . Deaktivieren Sie dann und klicken Sie auf .![]() | Zulassen der Anmeldung ohne Passwort |
---|---|
Das Verwenden der Funktion zum Anmelden ohne Passwort auf einem System, auf das physisch von mehreren Personen zugegriffen werden kann, stellt ein potenzielles Risiko dar. Alle Benutzer, die auf dieses System zugreifen, können die darin enthaltenen Daten ändern. Verwenden Sie diese Funktion nicht, wenn Ihr System vertrauliche Daten enthält. |
Beim Anmelden ohne Passwort wird ein Benutzer automatisch im System angemeldet, nachdem der Benutzer den Benutzernamen im Anmeldungsmanager eingegeben hat. Diese Funktion ist für mehrere Benutzer auf einem System verfügbar und kann nur mit KDM oder GDM ausgeführt werden.
Um die Funktion zu aktivieren, wählen Sie den Benutzer aus der Liste der Benutzer aus und klicken Sie auf
+ . Wählen Sie dann aus und klicken Sie auf .Um die Funktion zu deaktivieren, wählen Sie den Benutzer aus der Liste der Benutzer aus, für den Sie die Funktion deaktivieren möchten, und klicken Sie auf
+ . Deaktivieren Sie dann und klicken Sie auf .Um einen Systembenutzer zu erstellen, der sich nicht im System anmelden kann, aber mit dessen Identität verschiedene systembezogene Aufgaben verwaltet werden können, deaktivieren Sie beim Erstellen des Benutzerkontos den Benutzernamen. Führen Sie dazu die folgenden Schritte aus:
Klicken Sie auf
.Geben Sie für
die erforderlichen Daten ein.Aktivieren Sie
.Übernehmen Sie die Einstellungen mit
.Gehen Sie wie folgt vor, um die Anmeldung für einen bestehenden Benutzer zu deaktivieren:
Wählen Sie den Benutzer aus der Liste aus und klicken Sie auf
.Aktivieren Sie
unter .Übernehmen Sie die Einstellungen mit
.Bei einem System mit mehreren Benutzern ist es ratsam, mindestens grundlegende Sicherheitsrichtlinien für Passwörter zu erzwingen. Die Benutzer sollten ihre Passwörter regelmäßig ändern und starke Passwörter verwenden, die nicht so leicht herausgefunden werden können. Informationen zum Erzwingen strengerer Passwortregeln finden Sie unter Abschnitt 8.9.3, „Lokale Sicherheit“. Erstellen Sie eine Richtlinie für den Passwort-Ablauf, um eine Passwortrotation zu erzwingen.
Gehen Sie wie folgt vor, um die Richtline für den Passwort-Ablauf für einen neuen Benutzer zu konfigurieren:
Klicken Sie auf
.Geben Sie für
die erforderlichen Daten ein.Passen Sie die Werte unter
an.Übernehmen Sie die Einstellungen mit
.Gehen Sie wie folgt vor, um die Richtlinie für den Passwort-Ablauf für einen bestehenden Benutzer zu ändern:
Wählen Sie den Benutzer aus der Liste aus und klicken Sie auf
.Passen Sie die Werte unter
an.Übernehmen Sie die Einstellungen mit
.Sie können die Lebensdauer eines beliebigen Benutzerkontos beschränken, indem Sie für dieses spezielle Konto ein Ablaufdatum angeben. Geben Sie für TT-MM-JJJJ
an und verlassen Sie die Benutzerkonfiguration. Wenn für kein Wert angegeben wurde, läuft das Benutzerkonto nicht ab.
Beim Erstellen von neuen lokalen Benutzern werden von YaST verschiedene Standardeinstellungen verwendet. Sie können diese Standardeinstellungen entsprechend Ihren Anforderungen ändern:
Wählen Sie
+ aus.Wenden Sie die Änderungen auf eines oder alle der folgenden Elemente an:
Übernehmen Sie Änderungen mit
.Einige andere sicherheitsbezogene Standardeinstellungen können mithilfe des Moduls Abschnitt 8.9.3, „Lokale Sicherheit“.
geändert werden. Weitere Informationen hierzu erhalten Sie unter![]() | |
Änderungen bei der Passwortverschlüsselung werden nur auf lokale Benutzer angewendet. |
Für die Passwortverschlüsselung kann von SUSE Linux Enterprise DES, MD5 oder Blowfish verwendet werden. Blowfish stellt die Standardmethode für die Passwortverschlüsselung dar. Die Verschlüsselungsmethode wird während der Installation des System festgelegt, wie in Abschnitt 3.14.1, „Passwort für den Systemadministrator „root““ beschrieben. Um die Methode für die Passwortverschlüsselung im installierten System zu ändern, wählen Sie + aus.
Die Methode für die Benutzerauthentifizierung (z. B. NIS. LDAP, Kerberos oder Samba) wird während der Installation festgelegt, wie in Abschnitt 3.14.7, „Benutzer“ beschrieben. Um die Methode für die Benutzerauthentifizierung im installierten System zu ändern, wählen Sie + aus. Dieses Modul bietet einen Überblick über die Konfiguration sowie Optionen zum Konfigurieren des Client. Außerdem kann auch die Client-Konfiguration mit diesem Modul durchgeführt werden.
Wählen Sie zum Erstellen bzw. Bearbeiten von Gruppen die Option
+ aus oder klicken Sie im Modul zur Benutzerverwaltung auf . Beide Dialoge bieten dieselben Funktionen: Sie können Gruppen erstellen, bearbeiten und löschen.Das Modul bietet einen Überblick über alle Gruppen. Wie beim Dialogfeld für die Benutzerverwaltung können die Filtereinstellungen durch Klicken auf
geändert werden.Um eine Gruppe hinzuzufügen, klicken Sie auf
und geben Sie die entsprechenden Daten ein. Wählen Sie die Gruppenmitglieder aus der Liste aus, indem Sie das entsprechende Kontrollkästchen markieren. Klicken Sie auf , um die Gruppe zu erstellen. Um eine Gruppe zu bearbeiten, wählen Sie die gewünschte Gruppe aus der Liste aus und klicken Sie auf . Nehmen Sie alle erforderlichen Änderungen vor und speichern Sie sie mit . Um eine Gruppe zu löschen, wählen Sie sie einfach in der Liste aus und klicken Sie auf . ist eine erweiterte Gruppenverwaltung möglich. Weitere Informationen zu diesen Optionen finden Sie inMit
+ können Sie eine Gruppe von Sicherheitseinstellungen auf Ihr gesamtes System anwenden. Zu diesen Einstellungen gehört die Sicherheit für Booten, Anmeldung, Passwörter, das Erstellen von Benutzern und Dateiberechtigungen. SUSE Linux Enterprise bietet drei vorkonfigurierte Gruppen von Sicherheitseinstellungen: (Heim-Arbeitsplatzrechner), (Vernetzter Arbeitsplatzrechner) und . Bearbeiten Sie die Standardwerte mit . Mithilfe von können Sie Ihr eigenes Schema erstellen.Zu den detaillierten bzw. benutzerdefinierten Einstellungen gehören folgende Elemente:
Um neue Passwörter vor der Annahme vom System auf Sicherheit überprüfen zu lassen, klicken Sie auf
und . Legen Sie die Passwort-Mindestlänge für neu erstellte Benutzer fest. Definieren Sie den Zeitraum, für den die Passwörter gelten sollen, und wie viele Tage im Voraus eine Ablaufwarnung ausgegeben werden soll, wenn sich der Benutzer bei der Textkonsole anmeldet.Legen Sie durch Auswahl der gewünschten Aktion fest, wie die Tastenkombination Strg+Alt+Entf interpretiert werden soll. Normalerweise führt diese Kombination in der Textkonsole dazu, dass das System neu gebootet wird. Bearbeiten Sie diese Einstellung nur, wenn Ihr Computer oder Server öffentlich zugänglich ist und Sie befürchten, dass jemand diesen Vorgang ohne Berechtigung ausführen könnte. Bei Auswahl von führt diese Tastenkombination zum Herunterfahren des Systems. Mit wird die Tastenkombination ignoriert.
Bei Verwendung des KDE-Anmeldemanagers (KDM) können Sie die Berechtigungen für das Herunterfahren des Systems unter
festlegen. Sie können folgenden Personengruppen die Berechtigung erteilen: (Systemadministrator), , oder . Bei Auswahl von kann das System nur über die Textkonsole heruntergefahren werden.
Üblicherweise ist nach einem gescheiterten Anmeldeversuch eine Wartezeit von mehreren Sekunden erforderlich, bevor eine weitere Anmeldung möglich ist. Dies erschwert Passwortschnüfflern die Anmeldung. Optional können Sie /var/log
. Um anderen Benutzern Zugriff auf Ihren grafischen Anmeldebildschirm über das Netzwerk zu gestatten, müssen Sie aktivieren. Da diese Zugriffsmöglichkeit ein potenzielles Sicherheitsrisiko darstellt, ist sie standardmäßig nicht aktiviert.
Jeder Benutzer besitzt eine numerische und eine alphabetische Benutzer-ID. Die Korrelation zwischen diesen beiden IDs erfolgt über die Datei /etc/passwd
und sollte so eindeutig wie möglich sein. Mit den Daten in diesem Bildschirm legen Sie den Zahlenbereich fest, der beim Hinzufügen eines neuen Benutzers dem numerischen Teil der Benutzer-ID zugewiesen wird. Ein Mindestwert von 500 ist für die Benutzer geeignet. Automatisch generierte Systembenutzer beginnen bei 1000. Verfahren Sie ebenso mit den Gruppen-ID-Einstellungen.
Zur Verwendung der vordefinierten Dateiberechtigungseinstellungen wählen Sie
, oder aus. sollte für die meisten Benutzer ausreichen. Die Einstellung ist sehr restriktiv und kann als grundlegende Betriebsstufe für benutzerdefinierte Einstellungen dienen. Bei Auswahl von sollten Sie bedenken, dass einige Programme eventuell nicht mehr oder nicht mehr ordnungsgemäß arbeiten, da die Benutzer keinen Zugriff mehr auf bestimmte Dateien haben.
Legen Sie außerdem fest, welcher Benutzer das Programm updatedb starten soll, sofern es installiert ist. Dieses Programm, das automatisch jeden Tag oder nach dem Booten ausgeführt wird, erstellt eine Datenbank (locatedb), in der der Speicherort jeder Datei auf dem Computer gespeichert wird. Bei Auswahl von können alle Benutzer nur die Pfade in der Datenbank finden, die von jedem anderen Benutzer ohne besondere Berechtigungen gesehen werden können. Bei Auswahl von root
werden alle lokalen Dateien indiziert, da der Benutzer root
als Superuser auf alle Verzeichnisse zugreifen kann. Vergewissern Sie sich, dass die Optionen und deaktiviert sind. Nur fortgeschrittene Benutzer sollten in Erwägung ziehen, diese Optionen zu verwenden, da diese Einstellungen ein erhebliches Sicherheitsrisiko darstellen können, wenn sie falsch eingesetzt werden. Um selbst bei einem Systemabsturz noch einen gewissen Grad an Kontrolle über das System zu haben, klicken Sie auf .
Klicken Sie zum Abschließen der Sicherheitskonfiguration auf
.Zertifikate werden für die Kommunikation verwendet und können beispielsweise auch auf ID-Karten in Unternehmen eingesetzt werden. Verwenden Sie zum Verwalten oder Importieren eines gemeinsamen Server-Zertifikats das Modul Kapitel 42, Verwalten der X.509-Zertifizierung.
+ . Detaillierte Informationen zu Zertifikaten, ihren Technologien und ihrer Verwaltung mit YaST finden Sie inSuSEfirewall2 kann Ihren Rechner vor Angriffen aus dem Internet schützen. Konfigurieren Sie sie mit Kapitel 43, Masquerading und Firewalls.
+ . Detaillierte Informationen zu SuSEfirewall2 finden Sie in![]() | Automatische Aktivierung der Firewall |
---|---|
In YaST wird automatisch eine Firewall mit geeigneten Einstellungen auf jeder konfigurierten Netzwerkschnittstelle gestartet. Starten Sie dieses Modul nur, wenn Sie die Firewall deaktivieren oder mit benutzerdefinierten Einstellungen neu konfigurieren möchten. |