《unix操作系統(tǒng)教學(xué)》第6章用戶與用戶組管理VIP

1、第6章 UNIX用戶與用戶組管理UNIX可以允許多個(gè)用戶同時(shí)登錄到系統(tǒng)上，并響應(yīng)每一個(gè)用戶的請(qǐng)求。對(duì)于系統(tǒng)管理員而言，一個(gè)非常重要的工作就是對(duì)用戶賬戶進(jìn)行管理。這些工作包括添加和刪除用戶添加和刪除用戶、分分配用戶主目錄配用戶主目錄、限制用戶的權(quán)限限制用戶的權(quán)限等。內(nèi)容安排6.1.7 角色n在基于角色的訪問控制模型（Role Based Access Control，RBAC）中，將超級(jí)用戶的能力分成不同的包分配給分擔(dān)管理任務(wù)的其他用戶。n當(dāng)使用RBAC劃分超級(jí)用戶特權(quán)時(shí)，用戶可以擁有不同程度的訪問權(quán)限，可以控制對(duì)其他用戶特權(quán)操作的授權(quán)。6.1.7 角色n默認(rèn)Solaris中包括3種系統(tǒng)管理員角

2、色：n主管理員（Primary Administrator，PA）：負(fù)責(zé)負(fù)責(zé)為其他用戶分派權(quán)限，并負(fù)責(zé)系統(tǒng)的安全問題為其他用戶分派權(quán)限，并負(fù)責(zé)系統(tǒng)的安全問題。等效于root 用戶或超級(jí)用戶等功能強(qiáng)大的角色。n系統(tǒng)管理員（System Administrator，SA）：負(fù)責(zé)與安全無關(guān)的日常管理工作。n操作員（Operator）：執(zhí)行備份和設(shè)備維護(hù)操作n主管理員與系統(tǒng)管理員之間的區(qū)別主要取決于UNIX本地的安全策略。6.1.8 與用戶有關(guān)的配置文件（1）nUNIX的所有配置均已文件的形式存在。n1/etc/passwd（文本文件）n包含了所有用戶登錄名清單、為所有用戶指定的主目錄以及用戶在登錄時(shí)

3、使用的Shell名稱等重要信息。n該文件的每一行是一個(gè)用戶的信息描述，每一行又分為7列，列與列之間用冒號(hào)隔開。n增加一個(gè)用戶時(shí)，實(shí)際上就是在/etc/passwd文件中增加一行。字段1字段2字段3字段4字段5字段6字段7用戶名口令UIDGID賬號(hào)信息主目錄登錄shellrootx00root/root/bin/bash/etc/passwd中包含的字段用戶名用戶名 口令口令 UID GID UID GID 賬號(hào)信息賬號(hào)信息 主目錄主目錄 登錄登錄shell(shell(桌面桌面) )Root : x: 0: 0: Super-User: /root: /usr/bin/bashnlogin:p

4、assword:uid:gid:comment:home:shellnlogin：用戶的登錄名。由大、小寫字母、數(shù)字、小數(shù)點(diǎn)、下劃線以及連字符等字符組成，其中第一個(gè)字符必須是字母。此外，登錄名中還至少包含一個(gè)小寫字母。npassword：用戶密碼。該列原來是用來存儲(chǔ)加密后的用戶密碼的，后來用戶密碼被轉(zhuǎn)移到/etc/shadow文件中。因此，值為值為x，則表示該 用 戶 設(shè) 有 密 碼設(shè) 有 密 碼 ， 并 且 密 碼 存 儲(chǔ) 在/etc/shadow文件中；如果該列的值為*，則表示該用戶無法正常登錄無法正常登錄到UNIX系統(tǒng)。7列？nuid：用戶標(biāo)識(shí)符。是UNIX系統(tǒng)分配給每個(gè)用戶的用于系統(tǒng)內(nèi)

5、部識(shí)別的唯一的數(shù)字標(biāo)識(shí)。32位無符號(hào)整數(shù)，位于02,147,483,647之間，099，系統(tǒng)用戶使用的；普通用戶10060,000之間。ngid：用戶組標(biāo)識(shí)符。32位無符號(hào)整數(shù)，099保留給系統(tǒng)使用。每個(gè)用戶都至少屬于一個(gè)用戶組。ncomment：用戶注釋?？梢园ㄓ脩粽鎸?shí)姓名、電話號(hào)碼以及電子郵件地址等信息。7列？nhome：用戶主目錄。是UNIX分配給每個(gè)用戶的私有目錄，僅供個(gè)人存儲(chǔ)文檔使用。除了超級(jí)用戶，其他的普通用戶無法訪問其他用戶的主目錄。主目錄也是用戶登錄之后的起始路徑。nshell：用戶默認(rèn)的Shell。即命令解釋器，可以通過該列指定用戶登錄之后需要調(diào)用哪種Shell，例如/bi

6、n/sh或者/bin/ksh等。如果該列的值為空，則默認(rèn)使用/bin/sh，即Bourne Shell。用ls -l查看/etc/passwd的屬性n文件的所有者是root用戶n只有root用戶才能強(qiáng)制修改該文件。即：只有root用戶才有添加用戶的權(quán)限。n6442/etc/shadown/etc/shadow 與/etc/passwd配合使用n包含加密后的用戶密碼以及其他的有關(guān)信息。n文本文件。n在該文件中，每一行描述一個(gè)用戶的有關(guān)信息，每一行由9列組成，列與列之間通過冒號(hào)隔開。n當(dāng)對(duì)用戶的密碼進(jìn)行修改時(shí)，UNIX會(huì)自動(dòng)將更新后的密碼同步到該文件中。2/etc/shadownlogin:pas

7、sword:lastchanged:mindays:maxdays:warn:inactive:expire:reserve9列？nlogin：登錄名。與/etc/passwd文件中的登錄名一一對(duì)應(yīng)。npassword：加密后的密碼。用戶密碼長度至少應(yīng)包含6個(gè)字符。加密后的密碼至少包含13個(gè)字符；p如果該列的值為空或者為空或者為NP，沒有沒有設(shè)置設(shè)置密碼（此時(shí)用戶不能登錄系統(tǒng)）；p如果前4個(gè)字符為*LK*，用戶已經(jīng)被鎖定（lock）。p值為NONE，尚未設(shè)置密碼，當(dāng)該用戶下次登錄系統(tǒng)時(shí)，會(huì)要求該用戶設(shè)定密碼。9列？nlastchanged：該列表示從1970年1月1日至最近一次修改密碼之日的天

8、數(shù)。9列？nmindays：保持密碼不變的最少天數(shù)。如果不滿足該列的值，則用戶不能修改密碼。只有當(dāng)該列的值大于或者等于0時(shí)，才會(huì)啟用密碼的有效期檢查。nmaxdays：保持用戶密碼不變的最多天數(shù)。如果超過這個(gè)天數(shù)，系統(tǒng)會(huì)強(qiáng)制要求用戶修改密碼，否則不能登錄系統(tǒng)。nwarn：該列表示在用戶密碼到期前多少天向用戶發(fā)出警告。9列？ninactive：該列表示密碼到期之后，保持用戶信息有效的最多天數(shù)。如果超過這個(gè)天數(shù)限制，用戶還沒有修改密碼，則該用戶會(huì)被鎖定。nexpire：有效期。該列用來指定用戶有效期的截止日期。nreserve：保留列。目前該列值都為空。用ls -l查看/etc/shadow的屬性

9、n即只有root用戶有只讀權(quán)限，其他的任何用戶，都沒有任何的訪問權(quán)限。laodongsolaris:$ ls -l /etc/shadow-r- 1 root sys 910 9月 16日 23:57 /etc/shadow注意注意n/etc/shadow文件對(duì)于任何的非root用戶都是不可訪問的nwhy 任何用戶都可以使用passwd命令來修改自己的密碼呢？npasswd命令的所有者為root用戶，并且該命令被設(shè)置了粘滯位。n當(dāng)非root用戶在使用該命令時(shí)，其權(quán)限會(huì)得到臨時(shí)提升。3/etc/groupu關(guān)于用戶組的主要配置文件，存儲(chǔ)了當(dāng)前系統(tǒng)中的所有用戶組以及該組的成員u文本文件。4列？ng

10、roup_name:passwd:gid:user_list ngroup_name：用戶組名稱。npassword：用戶組密碼。通常為空。ngid：組標(biāo)識(shí)符。是一個(gè)無符號(hào)整數(shù)，與用戶標(biāo)識(shí)符基本相同。nuser_list：用戶列表。如果組中有多個(gè)用戶，則每個(gè)用戶之間用逗號(hào)分割。本列的值可以為空，如果該列的值為空則表示主組為當(dāng)前用戶組的用戶4/etc/skeln存放用戶啟動(dòng)文件的目錄，該目錄的所有者是root用戶。當(dāng)我們使用useradd命令添加用戶時(shí)，該目錄下的啟動(dòng)文件會(huì)作為模版自動(dòng)復(fù)制到新用戶的主目錄下n可通過修改、添加、刪除/etc/skel目錄下的文件，來為用戶提供一個(gè)統(tǒng)一、標(biāo)準(zhǔn)的、默認(rèn)

11、的用戶環(huán)境。n如通過修改 /etc/passwd文件來添加用戶，則需手工創(chuàng)建用戶主目錄，再把/etc/skel目錄下面的文件復(fù)制到用戶主目錄下，最后再修改這些文件的所有者為新用戶。注：UNIXUNIX中每當(dāng)建立一個(gè)用戶時(shí)，同時(shí)也建立一個(gè)同名的組，但是此用中每當(dāng)建立一個(gè)用戶時(shí)，同時(shí)也建立一個(gè)同名的組，但是此用 戶默認(rèn)是不加入到此組中戶默認(rèn)是不加入到此組中.2.用戶建立與刪除等操作（1 1）useradd /adduser useradd /adduser 用戶名用戶名 表示新建用戶表示新建用戶（2 2）passwd passwd 用戶名用戶名 表示修改用戶口令表示修改用戶口令（3 3）userd

12、el userdel 用戶名用戶名 表示刪除用戶表示刪除用戶（4 4）usermod usermod l l 新用戶名新用戶名 舊用戶名舊用戶名 表示修改用戶名稱表示修改用戶名稱（5 5）usermod usermod L L 用戶名用戶名 表示鎖定用戶名表示鎖定用戶名（6 6）usermod usermod U U 用戶名用戶名 表示解鎖用戶名表示解鎖用戶名3.組的建立與管理（1 1）groupadd groupadd 組名組名 表示新建組表示新建組（2 2）groupdel groupdel 組名組名 表示刪除組表示刪除組（3 3）groupmod groupmod 新組名新組名 舊組名舊

13、組名 表示修改組名稱表示修改組名稱（5 5）gpasswd a gpasswd a 用戶名用戶名 組名組名 表示把用戶加入到組中表示把用戶加入到組中（6 6）gpasswd d gpasswd d 用戶名用戶名 組名組名 表示把用戶從組中刪除表示把用戶從組中刪除266.2添加添加用戶用戶n使用默認(rèn)選項(xiàng)添加用戶使用默認(rèn)選項(xiàng)添加用戶nuseradd命令用來添加用戶。當(dāng)沒有當(dāng)沒有指定指定任何的任何的選項(xiàng)時(shí)，選項(xiàng)時(shí)，UNIX系統(tǒng)不會(huì)為新用戶系統(tǒng)不會(huì)為新用戶創(chuàng)建主目錄創(chuàng)建主目錄。n新用戶的主組將會(huì)是other組nShell將會(huì)是/bin/sh。例如，下面的命令在系統(tǒng)中添加一個(gè)用戶user1： roots

14、olaris:# useradd user1n user1:*LK*:設(shè)置密碼后才可使用再使用同樣的方法查看上面兩個(gè)文件的變化6.2.2為用戶指定主目錄為用戶指定主目錄n-d以及-m。n-d：指定新用戶主目錄的路徑，可以是一個(gè)已經(jīng)存在的路徑，也可以是一個(gè)不存在的路徑。n-m：如果-d選項(xiàng)指定的目錄不存在，則自動(dòng)創(chuàng)建該目錄，并將該目錄的所有者設(shè)置為新用戶。n此外，還將/etc/skel目錄中的初始化文件模板復(fù)制到用戶主目錄中。添加user2，并指定其主目錄為/export/home/user2。如果主目錄不存在，則自動(dòng)創(chuàng)建該目錄6.2.3為用戶指定默認(rèn)為用戶指定默認(rèn)Shelln-s選項(xiàng)：該選項(xiàng)的

15、值是所要使用的Shell程序的絕對(duì)路徑，如/bin/sh、/bin/csh等n指定C Shell（提示符為%）為新用戶的默認(rèn)Shell：Shell 的切換n可隨時(shí)切換所使用的Shell，在命令行中輸入Shell程序的名稱。n例如我們想在C Shell環(huán)境下切換到B Shellnrootsolaris:# sh /C Shell用 # 作提示符nlaodongsolaris:$ /B Shell用 $作提示符nrootsolaris:# shnlaodongsolaris:$ csh /切換回C Shellnsolaris# 6.2.4為用戶指定組為用戶指定組n在UNIX系統(tǒng)中，每個(gè)用戶都屬于1

16、-17個(gè)組，其中包括主組以及備用組。n在創(chuàng)建用戶時(shí)，如果沒有為用戶指定組，則新用戶將成為other組的成員。n在useradd命令中，-g以及-G這兩個(gè)選項(xiàng)分別用來指定主組和備用組。這兩個(gè)選項(xiàng)的值都是UNIX系統(tǒng)中已經(jīng)存在的用戶組的名稱。為用戶添加組n新添加一個(gè)名稱為user5的用戶，并且指定該用戶的主組為root，備用組為staff：nrootopensolaris:# useradd -g root -G staff -d /export/home/user5 -m user5n執(zhí)行完成之后，我們可以通過groups命令來查看該用戶所屬的組，命令如下：nrootopensolaris:#

17、groups user5 nroot staff n如果用戶的備用組有多個(gè)，可以在-G選項(xiàng)后列出所有的備用組，備用組的名稱之間用逗號(hào)隔開。nrootopensolaris:# useradd -g root -G mysql,adm,staff user6 nrootopensolaris:# groups user6 nroot adm staff mysql 6.2.5為用戶指定為用戶指定UIDn用戶標(biāo)識(shí)符（User Identification，UID）實(shí)際上，某些系統(tǒng)用戶使用固定的數(shù)值來作為它們的UID，例如：nroot用戶：其UID值為0。ndaemon用戶：其UID值為1。nbin

18、用戶：其UID值為2。nnobody用戶：其UID值為60001。nnoaccess用戶：其UID值為60002。6.2.5為用戶指定為用戶指定UIDnUID與用戶的登錄名一般是一一對(duì)應(yīng)。如果管理員在添加用戶時(shí)沒有明確指定UID值，則UNIX系統(tǒng)會(huì)從100開始自動(dòng)為新用戶分配UID號(hào)碼，所分配的UID號(hào)碼一般是當(dāng)前的最大值加1。6.2.5為用戶指定為用戶指定UIDn如果在增加新用戶的時(shí)候想明確指定UID號(hào)碼，可以使用useradd命令的-u選項(xiàng)。例如，下面的命令增加了一個(gè)名稱為user7的用戶，并且該用戶的UID號(hào)碼為200：nrootopensolaris:# useradd -m -d /

19、export/home/user7 -u 200 user7 n查看/etc/passwd文件，來驗(yàn)證user7的UID號(hào)碼是否為200，命令如下：nrootopensolaris:# cat /etc/passwd | grep user7nuser7:x:200:1:/export/home/user7:/bin/shn為新用戶指定了已經(jīng)存在的UID號(hào)碼，則提示UID號(hào)碼已經(jīng)被使用，并拒絕添加用戶，例如我們?cè)賴L試增加一個(gè)新用戶user78，并指定其UID號(hào)碼為200，命令如下：nrootopensolaris:# useradd -m -d /export/home/user8 -u 20

20、0 user78 nUX: useradd: ERROR: uid 200 is already in use. Choose another.注意n實(shí)際上在UNIX以及UNIX中并不禁止多個(gè)登錄名使用同一個(gè)UID。我們可以通過直接修改/etc/passwd文件的方式來使多個(gè)登錄名共用一個(gè)UID號(hào)碼。6.2.7使用圖形界面添加用戶使用圖形界面添加用戶n選擇System|Administration|Users and Groups命令，打開Users and Groups對(duì)話框6.3 修改用戶n通常情況下，系統(tǒng)管理員都是通過登錄名來區(qū)分用戶的。nUNIX提供了usermod命令來修改（modi

21、fy）用戶的登錄信息。nusermod options login noptions參數(shù)用來指定具體的要修改的登錄信息，例如，UID號(hào)、主組、備用組、主目錄以及默認(rèn)的Shell等。而login參數(shù)用來指定要修改的用戶的登錄名。修改用戶的登錄名n使用usermod命令的-l選項(xiàng)，其語法如下nusermod -l new_login_name old_login_name 6.3.2修改登錄名的有效期限修改登錄名的有效期限nUNIX為usermod命令提供了-e選項(xiàng)來設(shè)置登錄名的有效期，其語法如下：nusermod -e expire_date login_name nexpire_date參數(shù)必

22、須參數(shù)必須是一個(gè)有效的日期是一個(gè)有效的日期。格式必須使用/etc/datemsk文件中定義的格式之一來表示。/etc/datemsk常用的格式有：n%m/%d/%y %H:%Mn%m/%d/%Y %H:%Mn%m/%d/%yn%m/%d/%Yn其中%m、%d、%y、%H、%M分別代表月、日、年、小時(shí)和分鐘，如：n10/6/2015 或者：October 6, 2015 n以下命令將用戶user11的有效期更改為2015年12月31日：rootopensolaris:# usermod -e 12/31/2015 user11 n當(dāng)系統(tǒng)時(shí)間到達(dá)2016年1月1日凌晨時(shí)，用戶user11將被禁用。

23、6.3.3修改用戶所屬的修改用戶所屬的組組nUNIX中，用戶所屬的組分為主組和備用組。n任何一個(gè)用戶在某一個(gè)時(shí)刻只能屬于一個(gè)主在某一個(gè)時(shí)刻只能屬于一個(gè)主組組，但可同時(shí)可同時(shí)屬于多個(gè)備用組屬于多個(gè)備用組。n主組是用來標(biāo)識(shí)用戶創(chuàng)建的文件的，也就是說，文件的屬性中的組屬性的值就是創(chuàng)建該文件的屬性中的組屬性的值就是創(chuàng)建該文件的用戶的主組文件的用戶的主組。n如果用戶的主組或者備用組需要改動(dòng)，系統(tǒng)管理員可以使用usermod命令的-g以及-G選項(xiàng)來對(duì)用戶進(jìn)行修改。6.3.3修改用戶所屬的組修改用戶所屬的組nusermod-gnew_primary_group-Gnew_supplementary_grou

24、plogin_namennew_primary_group參數(shù)表示用戶的新的主組，該值必須是一個(gè)已經(jīng)在系統(tǒng)中存在的用戶組，可以是組名或者是組ID。nnew_supplementary_group備用組，該值同樣也必須是一個(gè)已存在的用戶組，可以使用組名或者組ID來表示。n例如，以下命令將用戶user6的主組由0，即root組，修改為10，即staff組：nrootopensolaris:# usermod -g staff user6 6.3.4修改用戶主目錄修改用戶主目錄nusermod -d home_dir login_name nrootopensolaris:# mkdir /user

25、1 nrootopensolaris:# chown -R user1 /user1 n-R選項(xiàng)表示包含所有的子目錄。n注意：chown命令用來修改文件的所有者n修改user1用戶的主目錄，命令如下：nrootopensolaris:# usermod -d /user1 user1 6.3.5修改用戶默認(rèn)的修改用戶默認(rèn)的ShellnShell是用戶登錄之后自動(dòng)調(diào)用的命令解釋器?？捎胾sermod命令的-s選項(xiàng)來修改。nusermod -s shell_name login_name nshell_name參數(shù)即用戶默認(rèn)的Shell，該參數(shù)可以取bin/sh、/bin/csh等值。n將用戶us

26、er1的默認(rèn)的Shell修改為/bin/cshnrootopensolaris:# usermod -s /bin/csh user1 6.4刪除用戶刪除用戶6.4.1使用默認(rèn)選項(xiàng)刪除使用默認(rèn)選項(xiàng)刪除用戶（用戶（不會(huì)刪除用戶的主目錄）nUNIX系統(tǒng)提供了userdel命令來刪除用戶nuserdel login_namenrootopensolaris:# ls -ld /user1 ndrwxr-xr-x 2 103 other 4 2011-09-16 15:17 /user1 6.4.2刪除用戶及其主目錄刪除用戶及其主目錄nuserdel-rlogin_namen將user2用戶及其主目錄

27、從系統(tǒng)中刪除，nrootopensolaris:# userdel -r user2 用戶user2及其主目錄/export/home/user2會(huì)徹底被刪除。nls命令來驗(yàn)證該命令是否成功執(zhí)行nrootopensolaris:#ls-ld/export/home/user2nls:cannotaccess/export/home/user2:Nosuchfileordirectory6.5添加組添加組n通過用戶組，系統(tǒng)管理員可以非常方便地對(duì)用戶進(jìn)行分類，或者批量授權(quán)6.5.1組名的組名的約定約定n組名是一個(gè)用來標(biāo)識(shí)用戶組的字符串。只能只能包含小寫字母和數(shù)字，包含小寫字母和數(shù)字，只能以字母只能

28、以字母開頭開頭。長度一般一般不超過不超過8個(gè)個(gè)字符。如：n正確：abc、users、guests、group1 n錯(cuò)誤：Group、_group1、123。6.5.2使用默認(rèn)選項(xiàng)添加組使用默認(rèn)選項(xiàng)添加組n6.5.2使用默認(rèn)選項(xiàng)添加組使用默認(rèn)選項(xiàng)添加組ngroupadd group_name ngroup_name用戶組的名稱必須符合上面的約定。n增加一個(gè)名稱為dba的用戶組：rootopensolaris:# groupadd dba 用戶組存儲(chǔ)在/etc/group文件中n。groupadd命令添加一個(gè)用戶組dba之后，會(huì)在/etc/group文件中增加一行記錄。n驗(yàn)證：rootopenso

29、laris:# cat /etc/group | grep dba ndba:104: n104即s系統(tǒng)自動(dòng)指定的組ID。6.5.3指定組指定組IDn如添加用戶組的時(shí)未指定組ID，則系統(tǒng)在當(dāng)前最大組ID的基礎(chǔ)上加1n系統(tǒng)管理員也可在增加組時(shí)，明確指定組ID。ngroupadd-ggidgroup_name nGid，無符號(hào)整數(shù)。6.5.3指定組指定組IDn新建名為account的用戶組，并且指定其組ID為102：rootopensolaris:# groupadd -g 102 account n/etc/group文件中就應(yīng)該有account用戶組的信息了。nrootopensolaris:

30、# cat /etc/group | grep account naccount:102: 6.5.4指定重復(fù)的組指定重復(fù)的組IDn指定用戶組ID，只能指定當(dāng)前系統(tǒng)中不存在的。實(shí)際上，允許多個(gè)用戶組使用相同的組ID。這些相同ID的組會(huì)被當(dāng)作是同一個(gè)組。ngroupadd -g gid -ogroup_name n增加名為account1的用戶組，其組ID仍然指定為前面的102，即與account用戶組的ID相同。rootopensolaris:# groupadd -g 102 -o account1 6.6修改組修改組n6.6.1修改組名修改組名n組名是面向用戶的用戶組標(biāo)識(shí)。一般來說，組名都

31、是具有明確涵義的字符串，ngroupmod -n new_name group_name n-n選項(xiàng)用來指定用戶組的新的名稱n下面的命令將account1用戶組的組名修改為account2nrootopensolaris:# groupmod -n account2 account1 6.6.2修改組修改組IDngroupmod命令的-g選項(xiàng)來修改已有用戶組的組ID，其基本語法如下：ngroupmod -g gid group_name n-g選項(xiàng)指定用戶組新的組IDngid是一個(gè)無符號(hào)整數(shù)，且不能使用當(dāng)前系統(tǒng)中已經(jīng)使用了的值。ngroup_name參數(shù)指定要修改的用戶組的組名，該組名必須是當(dāng)

32、前系統(tǒng)中存在的組名。將用戶組account的組ID修改為105：nrootopensolaris:# groupmod -g 105 account n驗(yàn)證一下用戶組account的組ID是否已經(jīng)被修改為105：rootopensolaris:# cat /etc/group | grep account naccount:105 n通過以上輸出可以得知，用戶組account的組ID已經(jīng)由102變成了105。6.6.3指定重復(fù)的組指定重復(fù)的組IDngroupmod -o -g gid group_name n將用戶組account的組ID修改為與staff用戶組相同，即組ID的值為10：roo

33、topensolaris:# groupmod -o -g 10 account n查看/etc/group文件來驗(yàn)證組ID是否修改成功rootopensolaris:# cat /etc/group | grep account naccount:10: 6.7刪除刪除組組ngroupdel group_namen將用戶組account刪除：rootopensolaris:# groupdel account n刪除用戶組之后，屬于該組的用戶并不會(huì)隨之刪除，甚至這些用戶所屬的組ID也不會(huì)發(fā)生變化。下面我們通過一個(gè)具體的例子來說明用戶組被刪除之后對(duì)于該組成員的影響。6.7刪除組刪除組n（1）首

34、先創(chuàng)建一個(gè)名稱為group1的用戶組，rootopensolaris:# groupadd group1 n（2）為上面創(chuàng)建的用戶組添加一個(gè)成員用戶rootopensolaris:# useradd -g group1 -m -d /export/home/user1 user1 n（3）通過id命令查看一下用戶user1的身份信息nrootopensolaris:# id user1 nuid=101(user1) gid=106(group1) groups=106(group1) n可知，用戶user1的主組和備用組都是group1。n（4）刪除用戶組group1，命令如下：nrooto

35、pensolaris:# groupdel group1 n（5）再次使用id命令來查看用戶user1的身份信息，命令如下：rootopensolaris:# id user1 nuid=101(user1) gid=106 groups=106 說明n盡管group1已被刪，但其成員用戶user1的所屬組的組ID仍然為106，即原來用戶組group1的組ID。此時(shí)由于用戶組group1已經(jīng)不存在，因此組ID值106已經(jīng)成為無效的組ID，也就是說現(xiàn)在106已經(jīng)沒有對(duì)應(yīng)的用戶組。所以，在上面的id命令的輸出結(jié)果中，只有組ID的值出現(xiàn)，而沒有對(duì)應(yīng)的用戶組名。在這種情況下，系統(tǒng)管理員應(yīng)該盡快為用戶u

36、ser1指定另外一個(gè)用戶組。n既然106已經(jīng)成為一個(gè)空閑的組ID值，如果我們?cè)偬砑右粋€(gè)組ID為106的用戶組，用戶user1會(huì)不會(huì)自動(dòng)成為該用戶組的成員？nrootopensolaris:# groupadd -g 106 group2 nrootopensolaris:# id user1 nuid=101(user1) gid=106(group2) groups=106(group2) n當(dāng)我們添加用戶組group2之后，用戶user1自動(dòng)成為group2的成員。這說明這說明UNIX系統(tǒng)內(nèi)部系統(tǒng)內(nèi)部是通過組是通過組ID來區(qū)分用戶組的。來區(qū)分用戶組的。6.8添加角色添加角色n 在傳統(tǒng)的UN

37、IX安全模型中，超級(jí)管理員root擁有完全的特權(quán)，而其他的用戶卻經(jīng)常由于沒有權(quán)限而不能完成某些任務(wù)。n有了基于角色的訪問控制（RBAC），便可以取代傳統(tǒng)的安全模型。角色的利用，使得管理員更加細(xì)致地管理UNIX系統(tǒng)的用戶權(quán)限。n本節(jié)介紹在UNIX系統(tǒng)中如何添加角色。6.8.1指定角色基目錄指定角色基目錄n角色：特殊的用戶。n添加角色時(shí)，可以指定主目錄。如果沒有為角色明確指定主目錄，則會(huì)自動(dòng)使用基目錄加登錄名的方式為角色自動(dòng)分配主目錄。n因此，基目錄可以看作是所有角色的主目錄的上級(jí)目錄。添加角色n添加角色需要使用roleadd命令，其中基目錄需要使用-b選項(xiàng)，其基本語法如下： roleadd -b

38、 base_dir -m role_name n-b選項(xiàng)用來指定角色的基目錄；n-m選項(xiàng)表示當(dāng)角色的主目錄不存在時(shí)，自動(dòng)創(chuàng)建該目錄。如果指定的目錄已經(jīng)存在，則角色所屬的主組必須對(duì)該目錄擁有讀、寫以及執(zhí)行的權(quán)限。n增加一個(gè)名稱為role1的角色，并指定基目錄為/export/home：nlaodongsolaris:$ sunPassword: nrootsolaris:# roleadd -d /export/home m role1查看一下角色的主目錄是否成功創(chuàng)建nrootsolaris:# ls -l /export/home/ntotal 14ndrwxr-xr-x 25 laodong

39、 staff 43 9月 21日 16:32 laodongndrwxr-xr-x 2 user2 staff 7 9月 16日 23:45 user2ndrwxr-xr-x 2 user3 staff 7 9月 21日 11:17 user3ndrwxr-xr-x 3 role1 staff 8 9月 17日 00:02 user4n角色創(chuàng)建之后還處于鎖定狀態(tài)角色創(chuàng)建之后還處于鎖定狀態(tài)，當(dāng)我們?yōu)樵摻巧O(shè)置密碼之后，它才可以變?yōu)榭捎脿顟B(tài)。為角色設(shè)置密碼與操作普通用戶完全相同n在OpenSolars中，添加角色實(shí)際上是在/etc/passwd、/etc/shadow以及以及/etc/user_a

40、ttr這3個(gè)文件中分別添加相應(yīng)的條目。nrootsolaris:#cat/etc/passwd|greprole1nrole1:x:105:10:/export/home:/usr/bin/pfbashnrootsolaris:#cat/etc/shadow|greprole1nrole1:$5$4ZaotYV7$pR8pigSNKCbP8HiS0F1XH8gsXUPCwCO.LEKoK2m18o/:16699:nrootsolaris:#cat/etc/user_attr|greprole1nrole1:type=role;profiles=All;roleauth=role6.8.2指定角

41、色主目錄指定角色主目錄nroleadd -d home_dir role_name n-d選項(xiàng)用來指定角色的主目錄；n創(chuàng)建名稱為role2的角色，其主目錄位于/export/home/role2：nrootsolaris:# roleadd -d /export/home/role4 role26.8.3指定角色的用戶組指定角色的用戶組n角色所屬的用戶組同樣分為主組與備用組兩種，其中主組使用-g選項(xiàng)來指定，備用組使用-G選項(xiàng)來指定，其基本語法如下：nroleadd -g primary_group -G supplementary_group role_name nprimary_group，

42、supplementary_group可以可以是當(dāng)前系統(tǒng)中已經(jīng)存在的組名或者是當(dāng)前系統(tǒng)中已經(jīng)存在的組名或者組組ID。6.8.3指定角色的用戶組指定角色的用戶組n以下命令添加一個(gè)名稱為role3的角色，并且指定其主組為root：nrootsolaris:/# roleadd -g root -d /export/home/role3 role36.8.4指定角色的有效期指定角色的有效期nroleadd -e expire role_namen添加一個(gè)名稱為role4的角色，其有效期為2015年12月20日：nrootsolaris:/export/home# roleadd -e 12/20/2

43、015 role46.8.5指定角色的指定角色的UIDn非負(fù)整數(shù)。如沒有明確指定UID，則系統(tǒng)會(huì)根據(jù)當(dāng)前最大值當(dāng)前最大值UID值加值加1來自動(dòng)分配UID。n在同一個(gè)系統(tǒng)中，用戶的UID和角色的UID是混在一起編碼的，也就是說，用戶也就是說，用戶UID和角色和角色UID共用一段連續(xù)的整數(shù)值。共用一段連續(xù)的整數(shù)值。如果在創(chuàng)建角色時(shí)需要明確指定UID，則可以使用-u選項(xiàng)，其基本語法如下：6.8.5指定角色的指定角色的UIDn如果在創(chuàng)建角色時(shí)需要明確指定UID，則可以使用-u選項(xiàng)，其基本語法如下：roleadd -u uid role_name -uid參數(shù)必須是當(dāng)前系統(tǒng)中未被使用的數(shù)值。例如，以下命

44、令創(chuàng)建一個(gè)名稱為role5的角色，并且指定其UID為200：rootsolaris:/export/home#roleadd-u200-d /export/home/role5 role56.8.6 指定角色默認(rèn)的Shellnroleadd -sshell role_namen參數(shù)shell表示默認(rèn)的Shell程序，該參數(shù)的值必須是一個(gè)可執(zhí)行文件，例如/usr/bin/bash以及/usr/bin/csh的n為新的角色指定默認(rèn)的為新的角色指定默認(rèn)的Shell為為/usr/bin/bash：rootopensolaris:# roleadd -s /usr/bin/bash -d /export

45、/home/role8 role8 n如果沒有明確為角色指定默認(rèn)的Shell，則系統(tǒng)系統(tǒng)將會(huì)為角色指定將會(huì)為角色指定/bin/pfsh作為默認(rèn)的作為默認(rèn)的Shell。6.8.7指定角色的指定角色的成員成員n角色與普通用戶非常相似，但是角色是不能作為登錄名來登錄UNIX系統(tǒng)的。只有以普通的用戶登錄UNIX系統(tǒng)之后，才承擔(dān)角色。n因此，要使角色能夠發(fā)揮作用，還必須為角色指定成員用戶，即角色的承擔(dān)者。6.8.7指定角色的成員指定角色的成員n為角色指定成員或者為用戶分配角色需要使用usermod命令的-R選項(xiàng)，其基本語法如下：nusermod -R role1,role2,role3 login_name nrole1、role2等是當(dāng)前