35.5. Configurazione dalla linea di comando

Se preferite gli strumenti dalla linea di comando oppure non avete installato il sistema X Window, usate questo capitolo per configurare utenti e gruppi.

35.5.1. Aggiunta di utente

Per aggiungere un nuovo utente al sistema:

  1. Usate il comando useradd per creare un account di utente bloccato:

    useradd <username>
  2. Sblocchi l'account usando il comando passwd per assegnare una password e impostare la guida di riferimento per la scadenza:

    passwd <username>

Le opzioni della linea di comando per useradd sono elencate in modo dettagliato in Tabella 35-1.

OpzioneDescrizione
-c commentoCommento per l'utente
-d dir-homeLa home directory da usare invece della directory di default /home/nome utente
-e dateData di scadenza dell'account nel formato AAAA-MM-GG
-f giorniNumero di giorni, dopo la scadenza della password, dopo i quali l'account viene disabilitato.(Se 0 viene specificato, l'account viene disabilitato subito dopo la scadenza della password. Se -1 viene specificato, l'account non sarà disabilitato dopo la scadenza della password.)
-g nome-gruppoNome del gruppo o numero del gruppo per il gruppo predefinito dell'utente (Il gruppo deve esistere prima di specificarlo qui)
-G elenco-gruppoElenco di nomi o numeri di gruppi addizionali (tranne i predefiniti), separati da virgole, di cui l'utente è membro. (I gruppi devono esistere prima di specificarli qui.)
-mCreare la home directory se non esiste.
-MNon creare la home directory.
-nNon creare un gruppo privato utente per l'utente.
-rCreare un account del sistema con un UID minore di 500 e senza una home directory
-p passwordLa password criptata con crypt.
-sLa shell login dell'utente, la quale è il default di /bin/bash.
-u uidL'ID-Utente per l'utente, il quale deve essere unico e maggiore di 499

Tabella 35-1. useradd Opzioni per la linea di comando

35.5.2. Aggiunta di un nuovo gruppo

Per aggiungere un nuovo gruppo al sistema, utilizzate il comando groupadd:

groupadd <group-name>

Le opzioni della linea di comando per groupadd sono elencate in modo dettagliato in Tabella 35-2.

OpzioneDescrizione
-g gidL'ID-Gruppo per il gruppo, il quale deve essere unico e maggiore di 499
-rCreare un gruppo del sistema con un GID minore di 500
-fUscire con un errore se il gruppo è già esistente. (Il gruppo non viene modificato.) Se -g e -f sono specificate, ma il gruppo è già esistente, l'opzione -g viene ignorata.

Tabella 35-2. groupadd Opzioni per la linea di comando

35.5.3. Scadenza password

Per ragioni di sicurezza, é buona abitudine richiedere agli utenti di cambiare le loro password periodicamente. Questo puó essere fatto aggiungendo o modificando un utente sulla scheda Informazione sulla password di Utente Manager.

Per configurare la scadenza della password per un utente da un prompt della shell, utilizzate il comando, chage, seguito da una opzione nella Tabella 35-3, seguito dal nome utente per l'utente.

ImportanteImportante
 

Le password shadow devono essere abilitati per usare il comando chage.

OpzioneDescrizione
-m giorniSpecificare il numero minimo di giorni prima della richiesta di modifica. Se il valore è 0, la password non scade.
-M giorniSpecificare il numero massimo di giorni per quale la password è valida. Quando il numero di giorni specificato da questa opzione più il numero di giorni specificato con la opzione -d è di meno che il giorno corrente, l'utente deve cambiare la sua password prima di poter usare questo account.
-d giorniSpecificare il numero di giorni dal primo gennaio, 1970 che la password è stata cambiata.
-I daysSpecificare il numero di giorni inattivi dopo la scadenza della password prima di bloccare l'account. Se il valore è 0, l'account non viene bloccato dopo la scadenza della password.
-E dataSpecificare la data in cui l'account viene bloccato, nel formato AAAA-MM-GG. Anzichè la data, il numero di giorni da January 1, 1970 può anche essere usato.
-W giorniSpecificare il numero di giorni prima di avviso di modifica.

Tabella 35-3. change Opzioni della linea di comando

SuggerimentoSuggerimento
 

Se il comando chage è seguito direttamente dal nome utente (senza opzioni), visualizza i valori per la scadenza della password corrente e consente di modificarli.

Se l'amministratore del sistema desidera che l'utente imposti una password quando accede al sistema per la prima volta, la password null o iniziale dell'utente può essere impostata in modo tale che scada immediatamente, forzando l'utente a cambiarla immediatamente dopo aver effettuato la registrazione nel sistema per la prima volta.

Per forzare l'utente a configurare una password per la prima volta che accede al sistema mediante la console, seguite la procedura seguente. Nota bene, questo processo non funziona se l'utente accede al sistema mediante il protocollo SSH.

  1. Bloccare la password dell'utente — se l'utente non esiste, usate il comando useradd per creare un account utente, ma non assegnate una password cosichè rimane bloccato.

    Se la password è già abilitata, bloccatela usando il comando:

    usermod -L username
  2. Forza immediatamente la scadenza della password — Digitate il seguente comando:

    chage -d 0 username

    Questo comando sovrappone il valore della data dell'ultima modifica della password con l'epoca (Gennaio, 1 1970). Questo valore forza immediatamente la scadenza della password, a dispetto di qualsiasi polizza di scadenza che sia impostata.

  3. Sblocchi l'account — Ci sono due metodi comuni a questo punto. L'amministratore può assegnare una password iniziale oppure una password di valore null.

    AttenzioneAttenzione
     

    Non usate il comando passwd per impostare la password poichè disattiva immediatamente la scadenza della password appena configurata.

    Per assegnare una password iniziale, usate la procedura seguente:

    • Avvia dalla linea di comando l'interprete python usando il comando python. Visualizza quanto segue:

      Python 2.2.2 (#1, Dec 10 2002, 09:57:09)
      [GCC 3.2.1 20021207 (Red Hat Enterprise Linux 3 3.2.1-2)] on linux2
      Type "help", "copyright", "credits" or "license" for more information.
      >>>
    • Al prompt, digitate il seguente (sostituendo password con la password cifrata e salt con una combinazione esatta di 2 caratteri alfabetici maiuscoli o minuscoli, numeri, il carattere puntino (.), oppure (/), come ad esempio: ab o 12:

      import crypt; print crypt.crypt("password","salt")

      L'output è la password cifrata simile a 12CsGd8FRcMSM.

    • Digitate [Ctrl]-[D] per uscire dall'interprete Python.

    • Tagliate e incollate l'output esatto della password cifrata, senza spazi all'inizio o alla fine, nel comando seguente:

      usermod -p "encrypted-password" username

    Invece di assegnare una password iniziale, una password di valore null può essere assegnata usando il comando:

    usermod -p "" username

    CautelaAvvertenza
     

    Mentre usando una password di valore null può essere conveniente per entrambi l'amministratore e l'utente, c'è un rischio minimo che una terza persona può accedere al sistema per prima. Per minimizzare questo rischio, è raccomandato che l'amministratore verifichi che l'utente è pronto ad accedere il sistema quando l'account viene sbloccato.

    Sia nell'uno che nell'altro, durante l'accesso iniziale al sistema, l'utente è richiesto di inserire una password nuova.