Jan Ulrich Hasecke
2019-11-29 55fea1a5022f31568854cdad2a3fd63838c08bc2
commit | author | age
939940 1 .. _kap-benutzerrollen:
JUH 2
0a126d 3 ==============
JUH 4 Benutzerrollen
5 ==============
6
ff7e66 7 Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie im Debian-Betriebssystem unter verschiedenen Benutzern mit jeweils klar definierten Rechten.
0a126d 8 Dies gilt auch für die Aufgaben, die man als Nutzer der Plattform in seinem Web-Paket erledigt.
JUH 9 Wer mit der Managed Operations Platform Webanwendungen betreibt, muss im Laufe der Zeit zahlreiche Benutzer anlegen.
10 Jeder Benutzer erfüllt eine spezielle Rolle.
11 Die Rollen werden durch die Vergabe von Rechten auf Betriebssystemebene definiert.
12 Für Personen, die bisher noch nicht mit Unix-Systemen und dem Konzept unterschiedlicher Benutzer gearbeitet haben, stellt dieses Mehrbenutzerkonzept am Anfang eine Hürde dar.
13 Ausführliche Unix-Kenntnisse sind nicht erforderlich, um auf der Hostsharing-Plattform Benutzer anzulegen, da das Verwaltungswerkzeug :program:`HSAdmin` diese Aufgabe vereinfacht. 
14 Da in diesem Handbuch die Kenntnis der Rollen an vielen Stellen vorausgesetzt wird, werden sie in diesem Kapitel ausführlich beschrieben.
15
16 .. role:: Mitglied
17
18    Die Rolle *Mitglied* ist abhängig von der Mitgliedschaft und wird beim Eintritt in die Genossenschaft angelegt. 
19    Die Rolle ist technisch unabhängig von anderen Rollen.
20    Nach Austritt aus der Genossenschaft wird die Rolle gelöscht.
21
22    Funktion:
23       Mit dem Mitglieds-Account verwalten Sie Ihre Mitgliedschaft bei Hostsharing.
222551 24       Sie können mit Ihrem Mitglieds-Account Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen.
0a126d 25       Als Reseller können Sie die Rolle nutzen, um die Web-Pakete Ihrer Kunden zu verwalten.
JUH 26
27    Ausstattung:
28       * jeweils nur ein Benutzer mit dieser Rolle pro Mitglied
29       * Benutzername besteht aus drei Buchstaben, z.B.: :term:`xyz`
30       * keine Shell
31       * eigenes Passwort
32
33    Rechte:
34       * kann die :doc:`Web-Pakete</referenz/webpaket/index>` des Mitglieds verwalten
55fea1 35       * kann die Rechte eines :role:`Paket-Admins <Paket-Admin>` annehmen
0a126d 36       * kann Rechnungen herunterladen
JUH 37       * kann Mitgliederdaten (Anschrift etc.) verwalten
38
39 .. role:: Paket-Admin
40
41    Der Paket-Admin wird beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet.
42
43    Funktion:
44       Mit dem Paket-Admin verwaltet das Mitglied sein Web-Paket.
45       Er legt Benutzer, Datenbanken und Domains an und verwaltet sie.
46
47    Ausstattung:
48       * mehrere Benutzer mit dieser Rolle pro Mitglied möglich
49       * Benutzername besteht aus dem Mitgliedskürzel und der Nummer des Webpakets, z.B.: :term:`xyz00`
50       * der Benutzer hat eine reguläre :term:`shell` z.B. ``/bin/bash``
ff7e66 51
JUH 52         Die Anmeldung als Paket-Admin auf der Plattform erfolgt via :command:`ssh`:
53
54         .. code-block:: console
55
56            $ ssh xyz00@xyz00.hostsharing.net
57            
0a126d 58       * eigenes E-Mail-Postfach
JUH 59       * eigenes Passwort
60    
61    Rechte:
62       * kann :ref:`Domains <kap-ref-domain>`, :role:`Domain-Admins <Domain-Admin>`, :role:`Datenbank-Nutzer` und :ref:`Datenbanken<kap-ref-db>` einrichten, verändern und löschen
55fea1 63       * kann Domains einem :role:`Domain-Admin` zuordnen
0a126d 64       * kann die Rechte anderer Benutzer in seinem Web-Paket annehmen
JUH 65  
66       .. warning:: 
67            Eine Domain kann zwar technisch auf den Account des Paket-Admins aufgeschaltet werden. Aus Sicherheitsgründen empfiehlt es sich aber Domains auf separate Domain-Admins aufzuschalten.
68       
69       Rechte eines anderen Benutzers annehmen:
70       
71       .. code-block:: console
72           
73           $ sudo -u xyz00-abc -i
74       
75       Bei einem Benutzer ohne :term:`shell`:
76       
77       .. code-block:: console
78       
79           $ sudo -u xyz00-abc -s
80    
81
82 .. role:: Domain-Admin
83
84    Funktion:
85       Der Domain-Admin verwaltet seine Domain(s) in einem eigenen Benutzerkonto.
86       Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` angelegt.
87
88    Ausstattung:
89       * hat eine reguläre Shell (z.B. ``/bin/bash``)
90       * hat eine Verzeichnisstruktur für seine Domain(s) unterhalb ``~/doms/``,
91       * besitzt ein eigenes E-Mail-Postfach.
92    
93    Rechte:
94      * kann Sub-Domains anlegen (vgl. Kapitel :ref:`kap-ref-subdomains`)
95      * kann die Zonen-Daten einer Domain bearbeiten (vgl. Kapitel :ref:`kap-ref-zonefile`)
96      * kann Dateien und Verzeichnisse in seinem Benutzerkonto anlegen oder ändern
97
98 .. role:: E-Mail-Benutzer
99
100    Funktion:
101       Die Rolle E-Mail-Postfach wird initial beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet und verwaltet seine E-Mails.
102
222551 103 .. todo:: MOS: "seine E-Mails": Wessen E-Mails sind gemeint?
MOS 104
0a126d 105    Ausstattung:
55fea1 106       * wird durch den :role:`Paket-Admin` angelegt,
0a126d 107       * hat keine shell (das Programm ``passwd`` wird an Stelle einer shell gestartet).
JUH 108    
109    Rechte:
110       * nur Passwortänderung möglich.
111
112 .. role:: Datenbank-Nutzer
113
114    Funktion: 
115
116       Alle Datenbanken sollten aus Sicherheitsgründen unter dem Account eines
117       gesonderten Datenbank-Nutzers laufen.  
118       Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` eingerichtet.
119       Der Paket-Admin ordnet die Datenbank-Nutzer den verwendeten Datenbanken
120       zu. 
121       Die Datenbank-Systeme selbst haben jeweils ihre eigene Nutzer-Verwaltung, 
122       die unabhängig von der Vergabe von Rechten auf Betriebssystemebene sind.
123    
124    Rechte:
125       * Die jeweils zugewiesenen Rechte an einer oder mehreren :doc:`Datenbanken<../datenbanken/index>`.
126
127 .. role:: Domain-Verwalter
128
129    Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem.
130    Der Account: 
131    
132    * ist initial vorhanden,
133    * hat den Namen hs-xyz,
134    * hat ein eigenes Passwort.
135    
55fea1 136    Rechte:   
0a126d 137    * Domains bestellen, kündigen, transferieren
JUH 138    * Inhaberdaten ändern
139    * Kontaktdaten ändern
140    * Handle-Verwaltung
141      
142    Weitere Informationen zum Domain-Bestell-System unter :doc:`Domainverwaltung<../domain/domainverwaltung>`.