04 Administering users and groups



Ky leksion ilustron si te shtojme, te fshijme dhe te administrojme perdoruesit dhe grupet nepermjet nderfaqes grafike dhe nderfaqes tekstuale.

Perdoruesit dhe grupet


Llogarite e perdoruesve ( User Accounts)  ofrojne mekanizmin per te autentikuar perdoruesit ne sistem dhe per ti autorizuar ato me tej per veprime ne sistem si per shembull per te drejten e leximit apote shkrimit te nje skedari.
Pervec llogarive qe perdoren nga perdoruesit e sistemit ka edhe lloogari perdoruesish ( user accounts ) te cilat perdoren per te autentikuar sherbime ose programe te instaluara ne sistem me synim qe te percaktohet niveli i autorizimit per to.
Cdo llogari perdoruesi identifikohet  nga nje numer unik ( user_id )

Gjithashtu perdoruesit mund te grupohen ne grupe te cilat perfaqesohen ne sistem me Llogarite e grupeve ( Group Accounts).
Grupi i perdoruesve ne grupe lehteson autorizimin e tyre per veprime te ndryshme ne sistem si per shembull per te drejtat e hapjes se skedareve apo dosjeve.
Cdo llogari grupi identifikohet nga nje numer unik ( grou_id).

Ne menyre te vecante perdoruesit dhe grupet jane nje mekanizem i mire per te kontrolluar aksesin tek skedaret.
Per cdo skedare percaktohen te drejtat ne nemyre specifike per perdoruesin qe e krijoi ( perdoruesin pronar) per grupin qe e zoteron kete skedar dhe per te gjithe perdoruesit e tjere.

Vetem pronari ose administratori i sistemit ( root) mund te ndryshoje pronesine e skedareve ose dosjeve.

Gjithashtu eshte e mundur qe te percaktohen te drejta mbi sekdaret per perdorues apo grupe te ndryshme ne menyre me te detajuar nepemjet listave te aksesit ( Access Lists ).


Per cdo perdorues te ri Redhat krijon nje grup me te njejtin emer qe quhet grupi privat i atij perdoruesi.
Si rregull i vetmi anetar i nje grupi privat eshte perdoruesi me te njejtin emer me te.

Shadow Passwords

Fjalekalimet Hije


Ne nje ambjent me shume perdorues eshte e nevojshme qe te perdorim fjalekalimit hije qe mundeson nga paketa shadow-utils  per te rritur sigurine. Per kete arsye fjalekalimet hije aktivizohen si default.

Fjalekalimet hije kane disa avantazhe per kundrejt mekanizmit te vjeter te ruajtjes se fjalekalimeve ne /etc/passwords:

1
Fjalekalimet e enkriptuara te perdoruesve nuk ruhen ne skedarin /etc/passwd i cili duhet te jete i lexueshemng ate gjithe perdoruesit, pasi aty ruhet konfigurimi i llogarise se tyre ne skedarin /etc/shadow qe mund te lezohet vetem nga administratori i sistemit:

Vini re te drejtat mbi skedarin /etc/passwd:

[root@localhost student]# ls /etc/passwd -l
-rw-r--r-- 1 root root 1486 Jan 13 08:58 /etc/passwd

Vini re te drejrat e skedarit /etc/shadow

[root@localhost student]# ls /etc/shadow -l
---------- 1 root root 845 Jan 13 08:58 /etc/shadow
[root@localhost student]# 


2
Fjalekalimet hije ruajne informacion mbi moshen e fjalekalimit


3
Fjalekalimet hije lejojne konfigurime ne skedarin etc/login.defs qe forcojne rregullat e sigurise.




Programi grafik User Manager


Programi grafik User Manager ofron funksionalitet e nevojshme per administrimin e perdoruesve duke perfshire:
shtimin e modifikimin dhe fshirjen e perdoruesve.
Per te hapur programin User Manager tek menuja kryesore  klikojme ne :

System → Administration → Users and Groups

ose e therrasim ate nga terminali nepermjet

system -config-users

{klikoni mbi foton per ta zmadhuar}
https://sites.google.com/a/ictedu.info/web/e-learning/redhat-linux-cource-custom/04-administering-users-and-groups/User%20Manager.png



Si rregull User Manager nuk i shfaq llogarite e perdoruesve qe perdor sistemi.
Nese duam di shohim edhe keto account mund te ndryshojme konfigurimin tek Edit -> Preferences


PRAKTIKE:
Krijimi i perdoruesve ne disa sherbime i jep menjehere atyre akses ne sistem nepermjet ketyre sherbimeve. Ndaj duhet te kujdesemi ne menyre te vecante per keto sherbime.
Shembull i zakonshem eshte serveri ftp.
Nese krijojme nje llogari perdoruesi atehere ai ka akses tek dosja e tij home nepermjet nje klienti ftp nese nuk kemi bere konfigurime shtese.
Gjithashtu nese duhet te krijojeme perdorues vetem per kete sherbim duhet te kujdesemi qe te heqim shell e perdoruesit ne /etc/passwd duke e zevendesuar /bin/bash me /sbin/nologin.





Administrimi i perdoruesve nepermjet komandave


Menyra me e thjeshte per te administruar perdoruesit e sistemit eshte nepermjet programit grafik User Manager.
Megjithate nese preferoni linjen e komandave mund te shtoni apo modifikoni perdorues nepermjet komandave:

Per te shtuar nje perdorues perdorim komanden useradd.
Per ti vendosur nje fjalekalim perdoruesit perdorim komanden passwd user

Komanda useadd mund te marre parametra qe percaktojne opsionet e krijimit te nje llogarie perdoruesi:

{klikoni mbi foton per ta zmadhuar}
https://sites.google.com/a/ictedu.info/web/e-learning/redhat-linux-cource-custom/04-administering-users-and-groups/user%20add%20command%20line%20options.PNG



Per shembull:




Pershkrim i procesit te krijimit te nje perdoruesi

Pavaresisht nese perdorim programin User Manager apo komanden useradd ndodhin disa hapa qe shtojne te dhenat e perdoruesit ne skedare. 

Kur ekzekutojme komanden useradd user1 ndodhin veprimet e meposhtme:


Shtohet nje rresht ne skedarin /etc/passwd

[root@localhost student]# cat /etc/passwd | grep user1
user1:x:501:501::/home/user1:/bin/bash
[root@localhost student]# 

Pershkrimi i rreshtit ne /etc/passwd

 Komponenti Pershkrimi
 user1  Username i perdoruesit qe u shtua
 x tregon se fjalekalimi i perdoruesit ruhet ne /etc/shadow
 501 User_Id qe sistem i ka dhen perdoruesit user1. Id-te nga 0=root deri ne 500 rezervohen nga sistemi , ndersa perdoruesve te rinj qe shtohen i caktohen ID e pare e lire duke nisur nga 500.
 501 Group_Id
 {bosh} Ne kete hapesire mund te vendosen te dhena te tjera per perdoruesin si emri e mbiemri ose te dhena te tjera pershkruese
 /home/user1 Direktoria baze e perdoruesit user1
 /bin/bash Shell qe do te perdore perdoruesi 



2 Shtohet nje rresht ne skedarin /etc/shadow

[root@localhost student]# cat /etc/shadow | grep user

user1:$1$wD9tXph8$QXcx0MBSBmKHY9iMrzGsD0:16126:0:99999:7:::
user2:!!:16126:0:99999:7:::

[root@localhost student]# 

 1 2 3 4 5 6 7 8
 user2 !! 16126 0 99999 7  


Pershkrimi i rreshtit ne /etc/shadow


 Indeksi ShembullPershkrimi 
 1 user1 Username i perdoruesit
 2 !! ose fjalekalimi i enkriptuar Ne rastin e user1 eshte vendosur nje fjalekim me komanden passwd (student) ndesa ne rastin e perdoruesit user2 perdoruesi eshte krijuar me useradd por nuk eshte caktuar ende nje fjalekalim per kete perdorues. Shenjat !! ne /etc/shadow e kycin (lock) llogarine e nje perdoruesi duke mos lejuar qe ai te logohet ne sistem.
 3 16126 lastchanged: Kur eshte modifikuar fjalekalimi per here te fundit, matur ne dite qe nga 1 Jan 1970
 4 0Edhe sa dite kane mbetur derisa perdoruesit ti lejohet te ndryshoje fjalekalimin.
 5 99999 Edhe sa dite duhen qe fjalekalimi te skadoje.
 6 7 Sa dite perpara se fjalekalimi te skadoje do te njoftohet perdoruesi
 7 Sa dite pas skadimit te fjalekalimit do te kycet llogaria e perdoruesit?
 8 Kur skadon llogaria e perdoruesit:ne dite nga 1 Jan1970. LLogaria nuk mund te perdoret mund te perdoret me pas kesaj date.

3 Shtohet nje rresht ne /etc/group me emrin user1

[root@localhost student]# cat /etc/group | grep user1
user1:x:501:
[root@localhost student]# 

x ne rreshtin e grupit tregon qe sistemi perdor "shadow group passwords".


4 Shtohet nje rresht ene /etc/gshadow per grupin user1


[root@localhost student]# cat /etc/gshadow | grep user1


user1:!::user1,student,user2,user3,user4


[root@localhost student]#



  • Group name — Emri i grupit. 
  • Encrypted password — Fjalekalimi i grupit 
    • Nese eshte vendosur nje fjalekalim perdoruesit mund ti bashkengjiten kerij grupi duke vendosur fjalekalimin nepermjet komandes newgrp. 
    • Nese vlera eshte !, atehere perdoruesit nuk lejohen ti bashkohen ketij grupi nepermjet komandes newgrp .
  • Group administrators — Anetaret e grupit qe listohen ketu (te ndare ne presje) mund te shtojne ise te heqin anetare te tjere ne grup.
  • Group members — Perdoruesit qe jane anetare te ketij grupi (te ndare me presje).



5 Krijohet nje dosje /home/user2 pronar i te ciles esht perdoruesi user1


[root@localhost student]# ls /home/ -l
total 36
drwx------.  2 root    root    16384 Jan  2 07:58 lost+found
drwxrwxrwx. 32 student student  4096 Feb 25 03:14 student
drwx------  25 user1   user1    4096 Feb 25 02:56 user1
drwx------   4 user2   user2    4096 Feb 25 03:28 user2
drwx------   4 user3   user3    4096 Feb 25 03:28 user3
drwx------   4 user4   user4    4096 Feb 25 03:28 user4
[root@localhost student]# 


6 Permbatja e dosjes /etc/skel kopjohet ne dosjen /home/user2


[root@localhost student]# ls /home/user2
[root@localhost student]# ls /etc/skel
[root@localhost student]# 


Ne shembullin tone dosja /etc/skel eshte bosh per kete arsy dosja /home/user2 eshte bosh