Linux ud5 - gestion de usuarios

2,335 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,335
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
83
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Linux ud5 - gestion de usuarios

  1. 1. UNIDAD DIDACTICA 5GESTIÓN DE USUARIOS Eduard Lara 1
  2. 2. 1. INTRODUCCIÓN Veremos como se gestionan los usuarios locales en unequipo con Linux, sea Server o Desktop. Aunque en Linux hay algunas cosas diferentes, la basede la gestión de usuarios es la misma que en Windows. Sólo existe un usuario que, a priori, tiene privilegiospara dar de alta usuarios en el equipo: el usuario root. Los usuarios que vamos a gestionar son usuarios localesdel sistema. Su gestión sólo afectará al equipo en el queestemos gestionando estos usuarios, y no afectará alresto de equipos de la red. Veremos las órdenes para gestionar usuarios y grupos.Y dónde y cómo el S.O. almacena esta información. 2
  3. 3. 1. ARCHIVO DE USUARIOS Y CONTRASEÑAS Al crear una cuenta de usuario en un sistema Linux, seañade una entrada en la lista de usuarios que se almacenaen el archivo de contraseñas /etc/passwd. Este archivo es un archivo de texto donde cada líneacontiene información de una única cuenta de usuario. root:&%J4M5#Z}!$A&L:0:0:root:/root:/bin/bash nombre nombre directorio directorio login contraseña UID GID shell shell login contraseña UID GID del usuario del usuario home home pepe:x:500:500:Pepe Garcia:/home/pepe:/bin/bash 3
  4. 4. 1. ARCHIVO DE USUARIOS Y CONTRASEÑAS Archivo /etc/passwd 4
  5. 5. 1. ARCHIVO DE USUARIOS Y CONTRASEÑAS- Login: Nombre de la cuenta de usuario. Se utiliza parainiciar la sesión.- Contraseña: Cada usuario tiene asociado unacontraseña. La contraseña en el archivo /etc/passwd sealmacena encriptada. Aunque la contraseña estáencriptada el archivo /etc/passwd puede ser leido portodos los usuarios del sistema. Por motivos de seguridades posible almacenar las contraseñas en un archivoindependiente llamado /etc/shadow que únicamentepuede ser leído por el usuario root. El sistema indica en/etc/passwd que la contraseña se almacena en un archivoindependiente colocando una x en el campo contraseña. 5
  6. 6. 1. ARCHIVO DE USUARIOS Y CONTRASEÑAS- User ID: Cada cuenta de usuario requiere de un idúnico llamado UID (User Identifier). El UID es un enterono negativo. El usuario root tiene asignado el UID cero.Los UIDs comprendidos entre 1 y 499 están reservadospara propósitos administrativos y los usuariosconvencionales del sistema empiezan a partir del UID500.- Group ID (GID): Cada usuario tiene asociado un grupopor defecto con un GID (Group Identifier). Igual que elUID, el GID es un entero no negativo. El GID de cadausuario almacenado en el archivo /etc/passwd es elidentificador del grupo por defecto, aunque un usuariopuede pertenecer a varios grupos. 6
  7. 7. 1. ARCHIVO DE USUARIOS Y CONTRASEÑAS- Nombre del usuario: Es el nombre del usuario ocomentario que define la cuenta de usuario.- Directorio Personal de Trabajo (Directorio Home):Esta entrada especifica el directorio personal de trabajodel usuario.- Shell: Indica que interprete de comandos usará elsistema por defecto para esta cuenta de usuario. Para lascuentas utilizadas para controlar permiso de archivospero que nunca deberían iniciar una sesión, es posibleespecificar en el campo de shell /bin/false. El interpretede comandos /bin/false es un pequeño programa que nohace nada, impidiendo que se use la cuenta de usuariopara iniciar una sesión en el sistema. 7
  8. 8. 2. GRUPOS Y EL ARCHIVO DE GRUPOS Un grupo local es la entidad administrativa capaz deincluir un conjunto de usuarios o incluso otros grupos,de tal forma que todos los privilegios concedidos a esegrupo, se heredan de forma directa por los usuarios ogrupos que de él dependen. Los GID y los nombres asociados se almacenan en elarchivo /etc/group, utilizando la sintaxis indicada en lafigura. root:X:0:root nombre nombre listado de listado de del grupo contraseña contraseña GID GID usuario del grupo usuario alumnos:W/”B?}[G6R:510:pepe,carlos,juan 8
  9. 9. 2. GRUPOS Y EL ARCHIVO DE GRUPOS- Nombre del Grupo: Cada grupo tiene que tener unnombre único en el sistema.- Contraseña del Grupo: Los grupos pueden tenertambién una contraseña asociada. Un usuario puedecambiar su grupo por defecto mediante la orden newgrp.Si el grupo está protegido mediante una contraseña, elusuario necesitará esta contraseña para realizar elcambio de grupo sino pertenece a este grupo.- Identificador de Grupo (GID). Cada grupo requiereun identificador que es un número entero no negativo.- Miembros del Grupo. Lista de los usuarios quepertenecen a este grupo. Los distintos usuarios estánseparados por comas. 9
  10. 10. 2. GRUPOS Y EL ARCHIVO DE GRUPOS Archivo /etc/group La administración de los grupos es similar a la administración de usuarios. 10
  11. 11. 2. GRUPOS Y EL ARCHIVO DE GRUPOS Todo usuario tiene que pertenecer necesariamente aun grupo para estar identificado en el sistema. Al dar de alta a un usuario en Linux, se le asocia a ungrupo que tiene el mismo nombre del usuario Normalmente los usuarios pertenecen a alguno de losgrupos que Linux crea por defecto tras la instalación:- users. Grupo general de usuarios. Normalmente losusuarios que creemos son asignados a este grupo.- ssh. Grupo al que pertenecerán usuarios a los que seles permita conexión remota al sistema por SSH.- dhcp. Los usuarios que pertenezcan a este grupopodrán administrar el servicio DHCP del equipo. 11
  12. 12. 2. GRUPOS Y EL ARCHIVO DE GRUPOS- root. A este grupo pertenece el usuario root y aquellosusuarios que administran casi por completo el equipolocal. Root tiene acceso completo y sin restricciones alequipo o dominio. Para hacer uso de privilegios root laclave será la contraseña de inicio de sesión del usuarioinicial. Los demás usuarios tendrán acceso solo según eladministrador se lo permita.- admin. Grupo con privilegios de administración en elsistema al que pertenece el usuario que se introdujo en lainstalación del sistema operativo. Los invitados tienenpredeterminadamente el mismo acceso que los miembrosdel grupo Users, excepto la cuenta Invitado, que tienemás restricciones. 12
  13. 13. 3. SISTEMA DE CONTRASEÑAS SHADOW Por defecto el sistema de contraseñas Shadow estáhabilitado en el sistema Linux Aunque la información de cuentas de usuario en/etc/passwd sólo es modificable por el usuario root, estainformación es visible por todos los usuarios del sistema. Aunque las contraseñas de los usuarios estánencriptadas en /etc/passwd, sería deseable que el únicousuario que las pudiera ver sea el usuario root. El sistema de contraseñas shadow almacena lainformación de los usuarios en /etc/passwd exactamentecomo se ha descrito anteriormente, excepto lacontraseña encriptada, que se almacena en un archivoindependiente llamado /etc/shadow 13
  14. 14. 3. SISTEMA DE CONTRASEÑAS SHADOW El archivo de contraseñas /etc/shadow sólo esmodificable y visible por el usuario root, el resto deusuarios NO tiene permisos para leer el contenido delarchivo, es decir las contraseñas encriptadas. 14
  15. 15. 3. SISTEMA DE CONTRASEÑAS SHADOW El sistema de contraseñas shadow también seimplementa en las contraseñas de los grupos. En lugarde utilizar el fichero semipúblico /etc/group, lainformación de contraseñas se almacena encriptada enel archivo privado /etc/gshadow 15
  16. 16. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS Aunque es posible, no es recomendable gestionar losusuarios y grupos del sistema, editando manualmente losarchivos /etc/passwd y /etc/group, a través del usuarioroot. El sistema linux proporciona un conjunto de órdenesque permiten manipular los usuarios, los grupos y susrespectivas contraseñas: useradd usermod userdel id passwd su groups groupadd groupmod groupdel gpasswd newgrp pwconv pwunconv grpconv grpunconv Falta login 16
  17. 17. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS useraddSintaxis: useradd [opciones] loginCrea la cuenta de usuario con el login especificado en login. Lascaracterísticas de la nueva cuenta dependen de los valores pordefecto del sistema y las opciones especificadas en la ordenuseradd. Después de crear el usuario es necesario proporcionarle unacontraseña mediante la orden passwd. Es responsabilidad del usuarioestablecer una nueva contraseña la primera vez que inicie sesión.Opciones:-c Define el “nombre del usuario”.-d Define el directorio de trabajo del usuario (directorio home).-s Define el shell que usará por defecto el usuario.-g Define el grupo base del usuario.-G Indica a que otros grupos pertenecerá el usuario.-D Lista los valores por defecto de creación de usuarios del sistema. 17
  18. 18. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS usermodSintaxis: usermod [opciones] loginPermite modificar la cuenta de usuario una vez ha sido creada. Poseelas mismas opciones que la orden useradd.Opciones:-c Modifica el “nombre del usuario”.-d Modifica el directorio de trabajo del usuario (directorio home).-s Modifica el shell que usará por defecto el usuario.-g Modifica el grupo base del usuario.-G Indica a que otros grupos pertenecerá el usuario.-L Bloquea la contraseña, deshabilitando la cuenta de usuario.-U Desbloquea la contraseña, habilitando la cuenta de usuario parainiciar sesión. 18
  19. 19. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS userdelSintaxis: userdel [opciones] loginElimina una cuenta de usuario.Opciones:-r Elimina el directorio personal del usuario especificado. idSintaxis: id [login]Muestra el UID, GID del grupo por defecto y los GID de los otrosgrupos a que pertenece el usuario indicado en login. Sino seespecifica el usuario se utiliza el usuario actual. 19
  20. 20. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS passwdSintaxis: passwd [opciones] loginPermite gestionar todas las opciones relativas a la contraseña de losusuarios del equipo. El usuario root es el único que lo puede usar.Si se ejecuta sin parámetros, solicitará la antigua contraseña delusuario que ha iniciado sesión y por duplicado la nueva contraseña.Opciones:-l Bloquea la contraseña del usuario.-w Días de antelación con los cuales avisa la caducidad contraseña-x Días en que caducará la contraseña.-n Días en que tendrá que cambiar la contraseñasudo passwd paco -w 3 -x 45 -n 2 La contraseña del usuariopaco caducará a los 45 días, que se le avisará con 3 días deantelación y la contraseña la tendrá que cambiar antes de dos días. 20
  21. 21. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS suSintaxis: su [login]El comando su permite cambiar temporalmente de identidad, si no seespecifica el usuario, cambiará al root. Para volver a la identidadanterior es necesario ejecutar la orden exit. groupsSintaxis: groups userLista a que grupos pertenece el usuario user. groupaddSintaxis: groupadd groupnameCrea un grupo de usuarios vacío llamado groupname 21
  22. 22. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS groupmodSintaxis: groupmod [opciones] groupnameModifica las características de un grupo de usuarios creadopreviamente.Opciones:-n name Cambia el nombre del grupo a name. groupdelSintaxis: groupdel groupnameElimina un grupo de usuarios creado previamente. 22
  23. 23. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS gpasswdSintaxis: gpasswd groupnameEstablece una contraseña para el grupo groupname. La contraseña nopuede indicarse como una opción de la orden gpasswd. La ordenpregunta la contraseña durante su ejecución. newgrpSintaxis: newgrp groupnamePermite cambiar el grupo de pertenencia por defecto del usuarioactual. Para volver al grupo anterior es necesario usar la orden exit.Si el usuario pertenece previamente al grupo el sistema no pedirá lacontraseña del grupo. Si el usuario NO pertenece al grupo la ordenpreguntará por la contraseña de grupo establecida mediantegpasswd. 23
  24. 24. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS pwconvSintaxis: pwconvConvierte un sistema de contraseñas estándar (formado únicamentepor /etc/passwd) a un sistema de contraseñas shadow (formado porlos archivos /etc/passwd y /etc/shadow). pwunconvSintaxis: pwunconvConvierte un sistema de contraseñas shadow (formado por losarchivos /etc/passwd y /etc/shadow) a un sistema estándar decontraseñas (formado únicamente por /etc/passwd). 24
  25. 25. 4. ORDENES PARA GESTIONAR USUARIOS Y GRUPOS grpconvSintaxis: grpconvPasa de un sistema de grupos estándar (formado únicamente por elarchivo /etc/group) a un sistema de grupos con contraseñas shadow(formado por los archivos /etc/group y /etc/gshadow). grpunconvSintaxis: grpunconvPasa de un sistema de grupos con contraseñas shadow formado porlos archivos /etc/group y /etc/gshadow) a un sistema de gruposestándar (formado únicamente por el archivo /etc/group). 25
  26. 26. 5. GESTIÓN DE USUARIOS LOCALES DE FORMA GRÁFICAPaso 1. Ir a la herramienta de configuración de usuarios:Sistema/Administración/Usuarios y gruposPaso 2. Para poder configurar tanto los usuarios como losgrupos locales, tendremos que estar autentificados comosuper-usuario. Hacer click en Desbloquear para accederal usuario root. 26
  27. 27. 5. GESTIÓN DE USUARIOS LOCALES DE FORMA GRÁFICAPaso 3. Por defecto encontramos dos usuarios yadefinidos en el sistema: root y usuario_propio. Hacemosclick en el botón Añadir usuario, para dar de alta unnuevo usuario. 27
  28. 28. 5. GESTIÓN DE USUARIOS LOCALES DE FORMA GRÁFICA- Usuario. Nombre con el que el usuario se validará alsistema. No debe contener espacios en blanco nicaracteres especiales.- Nombre real. Indica una descripción completa delusuario que estamos dando de alta, pero no es obligatoria.- Perfil. Importante pestaña. Indicaremos si queremosun usuario del escritorio (normal), un usuario sinprivilegios o un usuario con privilegios de administrador.- Información de contacto. Se utiliza para ampliar lainformación que referencia al usuario.- Contraseña. Introduciremos por duplicado lacontraseña asignada a este usuario y tendrá una longitudsuperior a 6 caracteres. 28
  29. 29. 5. GESTIÓN DE USUARIOS LOCALES DE FORMA GRÁFICAPaso 4. En la pestaña Privilegios del usuario podremospersonalizar el perfil del mismo, de acuerdo a lascaracterísticas que se muestran 29
  30. 30. 5. GESTIÓN DE USUARIOS LOCALES DE FORMA GRÁFICAPaso 5. En la pestaña Avanzado podremos indicar:- El lugar y el nombre donde se creará la carpeta personalde trabajo de este usuario- El tipo de Shell a utilizar.- El grupo que inicialmentepertenecerá este usuario.- El ID (Identificador) asignadoal usuario que estamos dando dealta (un número normalmentesuperior a 1000) 30
  31. 31. 5. GESTIÓN DE USUARIOS LOCALES DE FORMA GRÁFICAPaso 6. Para modificar un usuario, lo seleccionaremos yposteriormente haremos click en el botón Propiedades.Lo único que no podemos modificar es el login de usuario.El resto de datos son modificables. El modo gráfico no permite cambiar la contraseña como en Windows: “El usuario debe cambiar la contraseña en el siguiente inicio de sesión”, “El usuario no puede cambiar la contraseña, etc”, sólo se puede hacer mediante comandos 31
  32. 32. 5. GESTIÓN DE USUARIOS LOCALES DE FORMA GRÁFICAPaso 7. Para dar de baja a un usuario, haremos click en elbotón Borrar una vez seleccionado el usuario.Al borrar el usuario, su directorio personal de trabajo nose borrará , ya que puede contener documentos, que seande utilidad para el resto de usuarios del sistema.La carpeta personal de trabajo se puede eliminar deforma manual con privilegios de súper usuario. 32
  33. 33. 6. GESTIÓN DE GRUPOS DE USUARIO DE FORMA GRÁFICAPaso 1. Para añadir un grupo de usuarios al sistema,hemos de ir a la herramienta Usuarios y grupos,desbloquear la aplicación y pulsar el botón Gestionargrupos. 33
  34. 34. 6. GESTIÓN DE GRUPOS DE USUARIO DE FORMA GRÁFICAPaso 2. Para añadir grupos de usuarios basta con hacerclick en el botón Añadir grupo. Introduciremos el nombredel grupo, la identificación del grupo, que será un númerosuperior o igual al que se nos muestra, y añadiremos,directamente, los usuarios de la lista. 34
  35. 35. 6. GESTIÓN DE GRUPOS DE USUARIO DE FORMA GRÁFICAPaso 3. Para añadir usuarios a un grupo, seleccionaremosel grupo deseado y, pulsando en Propiedades, veremos lalista de usuarios que podemos añadir. Marcaremos lascasillas de verificación de los usuarios deseados ypulsaremos el botón Aceptar. Para borrar usuarios delgrupo procederemos de la misma forma, desmarcando lascasillas de verificación. 35
  36. 36. 6. GESTIÓN DE GRUPOS DE USUARIO DE FORMA GRÁFICAPaso 4. También podemos borrar grupos pulsando en elbotón Borrar, pero el que borremos un grupo no implicaque los usuarios de este grupo se borren. 36
  37. 37. PRACTICA 4. GESTIÓN DE USUARIOSPaso 1. Toda la información referente a las cuentas de usuario seencuentra almacenada en los siguientes ficheros:etc/passwdetc/groupetc/shadowetc/gshadowVisualiza el contenido de cada fichero e indica la funcionalidad quecrees que realiza cada uno.Paso 2. Realizar un volcado en pantalla de la/s linea/s del fichero/etc/passwd donde aparezca vuestro username.Paso 3. Escribe la linea de vuestro username y explica el significadode cada campo. ¿Cual es su UID y su GID? ¿Que deben cumplir susvalores? 37
  38. 38. PRACTICA 4. GESTIÓN DE USUARIOSPaso 4. Comenta las diferencias respecto la línea del usuario root.¿Cuál es su UID y su GID?Paso 5. ¿Has podido ver la contraseña de tu usuario? ¿Donde seencuentra?Paso 6. Visualiza el fichero /etc/shadow. ¿Se puede acceder? ¿Comoharias para acceder? Escribe las lineas de tu usuario personal y delusuario root.Paso 7. Visualiza el fichero de grupos /etc/group y anota las líneasde grupo de tu usuario y el usuario root. Indica el significado de cadacampo.Paso 8. ¿Existe un nombre de grupo con tu nombre de usuario? ¿Cualserá su contraseña?Paso 9. Lista a que grupos pertenece tu usuario. Hacerlo tanto con elcomando grep como con una instrucción especifica. 38
  39. 39. PRACTICA 4. GESTIÓN DE USUARIOSPaso 10. Añade un nuevo usuario con nombre nouser, definiendo sólosu login. Observa las nuevas entradas en los ficheros passwd, shadowy group, y anótalas. ¿Que password o símbolo se le ha asignado pordefecto? Indicalo.Paso 11. Añadele password al usuario nouser. ¿Se puede realizardesde tu perfil de usuario?Paso 12. Indica cómo funciona el comando de configuración delpassword del nuevo usuario creado. Mira que ficheros (passwd,group, shadow) han modificado su contenido.Paso 13. Modifica algunas características del usuario nouser.- Nombre del usuario,- Directorio de trabajo del usuario.- Shell que usuará por defecto el usuario.- Grupo de base del usuario: Por ejemplo root 39
  40. 40. PRACTICA 4. GESTIÓN DE USUARIOSHazlo poco a poco, es decir, prueba de hacer cada opción porseparado y ver que es lo que modifica en los respectivos ficheros.¿Que fichero únicamente se modifica?Paso 14. El usuario nouser sólo pertenece a un grupo (un grupoexistente indicado en el apartado anterior). Permite que el usuarionouser pertenezca a los siguientes grupos también: lpadmin, admin, elgrupo de tu usuario. Verifica los cambios realizados.Paso 15. Crea un grupo de usuario vacío llamado migrupo. Verificalos cambios realizados en los 3 ficheros de referencia. ¿Cual de ellosmodifica únicamente?Paso 16. Modifica el nombre del grupo creado anteriormente aotrogrupoPaso 17. Elimina el grupo de usuarios creado anteriormentePaso 18. Elimina el usuario nouser. 40

×