commit | author | age
|
939940
|
1 |
.. _kap-benutzerrollen: |
JUH |
2 |
|
0a126d
|
3 |
============== |
JUH |
4 |
Benutzerrollen |
|
5 |
============== |
|
6 |
|
|
7 |
Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie unter verschiedenen Benutzern mit jeweils klar definierten Rechten. |
|
8 |
Dies gilt auch für die Aufgaben, die man als Nutzer der Plattform in seinem Web-Paket erledigt. |
|
9 |
Wer mit der Managed Operations Platform Webanwendungen betreibt, muss im Laufe der Zeit zahlreiche Benutzer anlegen. |
|
10 |
Jeder Benutzer erfüllt eine spezielle Rolle. |
|
11 |
Die Rollen werden durch die Vergabe von Rechten auf Betriebssystemebene definiert. |
|
12 |
Für Personen, die bisher noch nicht mit Unix-Systemen und dem Konzept unterschiedlicher Benutzer gearbeitet haben, stellt dieses Mehrbenutzerkonzept am Anfang eine Hürde dar. |
|
13 |
Ausführliche Unix-Kenntnisse sind nicht erforderlich, um auf der Hostsharing-Plattform Benutzer anzulegen, da das Verwaltungswerkzeug :program:`HSAdmin` diese Aufgabe vereinfacht. |
|
14 |
Da in diesem Handbuch die Kenntnis der Rollen an vielen Stellen vorausgesetzt wird, werden sie in diesem Kapitel ausführlich beschrieben. |
|
15 |
|
|
16 |
.. role:: Mitglied |
|
17 |
|
|
18 |
Die Rolle *Mitglied* ist abhängig von der Mitgliedschaft und wird beim Eintritt in die Genossenschaft angelegt. |
|
19 |
Die Rolle ist technisch unabhängig von anderen Rollen. |
|
20 |
Nach Austritt aus der Genossenschaft wird die Rolle gelöscht. |
|
21 |
|
|
22 |
Funktion: |
|
23 |
Mit dem Mitglieds-Account verwalten Sie Ihre Mitgliedschaft bei Hostsharing. |
|
24 |
Sie können mit Ihrem Mitglieds-Acoount Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen. |
|
25 |
Als Reseller können Sie die Rolle nutzen, um die Web-Pakete Ihrer Kunden zu verwalten. |
|
26 |
|
|
27 |
Ausstattung: |
|
28 |
* jeweils nur ein Benutzer mit dieser Rolle pro Mitglied |
|
29 |
* Benutzername besteht aus drei Buchstaben, z.B.: :term:`xyz` |
|
30 |
* keine Shell |
|
31 |
* eigenes Passwort |
|
32 |
|
|
33 |
Rechte: |
|
34 |
* kann die :doc:`Web-Pakete</referenz/webpaket/index>` des Mitglieds verwalten |
|
35 |
* kann die Rechte eines :doc:`Paket-Admins <paket-admin>` annehmen |
|
36 |
* kann Rechnungen herunterladen |
|
37 |
* kann Mitgliederdaten (Anschrift etc.) verwalten |
|
38 |
|
|
39 |
.. role:: Paket-Admin |
|
40 |
|
|
41 |
Der Paket-Admin wird beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet. |
|
42 |
|
|
43 |
Funktion: |
|
44 |
Mit dem Paket-Admin verwaltet das Mitglied sein Web-Paket. |
|
45 |
Er legt Benutzer, Datenbanken und Domains an und verwaltet sie. |
|
46 |
|
|
47 |
Ausstattung: |
|
48 |
* mehrere Benutzer mit dieser Rolle pro Mitglied möglich |
|
49 |
* Benutzername besteht aus dem Mitgliedskürzel und der Nummer des Webpakets, z.B.: :term:`xyz00` |
|
50 |
* der Benutzer hat eine reguläre :term:`shell` z.B. ``/bin/bash`` |
|
51 |
* eigenes E-Mail-Postfach |
|
52 |
* eigenes Passwort |
|
53 |
|
|
54 |
Rechte: |
|
55 |
* kann :ref:`Domains <kap-ref-domain>`, :role:`Domain-Admins <Domain-Admin>`, :role:`Datenbank-Nutzer` und :ref:`Datenbanken<kap-ref-db>` einrichten, verändern und löschen |
|
56 |
* kann Domains einem :doc:`Domain-Admin <domain-admin>` zuordnen |
|
57 |
* kann die Rechte anderer Benutzer in seinem Web-Paket annehmen |
|
58 |
|
|
59 |
.. warning:: |
|
60 |
Eine Domain kann zwar technisch auf den Account des Paket-Admins aufgeschaltet werden. Aus Sicherheitsgründen empfiehlt es sich aber Domains auf separate Domain-Admins aufzuschalten. |
|
61 |
|
|
62 |
Rechte eines anderen Benutzers annehmen: |
|
63 |
|
|
64 |
.. code-block:: console |
|
65 |
|
|
66 |
$ sudo -u xyz00-abc -i |
|
67 |
|
|
68 |
Bei einem Benutzer ohne :term:`shell`: |
|
69 |
|
|
70 |
.. code-block:: console |
|
71 |
|
|
72 |
$ sudo -u xyz00-abc -s |
|
73 |
|
|
74 |
|
|
75 |
.. role:: Domain-Admin |
|
76 |
|
|
77 |
Funktion: |
|
78 |
Der Domain-Admin verwaltet seine Domain(s) in einem eigenen Benutzerkonto. |
|
79 |
Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` angelegt. |
|
80 |
|
|
81 |
Ausstattung: |
|
82 |
* hat eine reguläre Shell (z.B. ``/bin/bash``) |
|
83 |
* hat eine Verzeichnisstruktur für seine Domain(s) unterhalb ``~/doms/``, |
|
84 |
* besitzt ein eigenes E-Mail-Postfach. |
|
85 |
|
|
86 |
Rechte: |
|
87 |
* kann Sub-Domains anlegen (vgl. Kapitel :ref:`kap-ref-subdomains`) |
|
88 |
* kann die Zonen-Daten einer Domain bearbeiten (vgl. Kapitel :ref:`kap-ref-zonefile`) |
|
89 |
* kann Dateien und Verzeichnisse in seinem Benutzerkonto anlegen oder ändern |
|
90 |
|
|
91 |
.. role:: E-Mail-Benutzer |
|
92 |
|
|
93 |
Funktion: |
|
94 |
Die Rolle E-Mail-Postfach wird initial beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet und verwaltet seine E-Mails. |
|
95 |
|
|
96 |
Ausstattung: |
|
97 |
* wird durch den :doc:`Paket-Admin<paket-admin>` angelegt, |
|
98 |
* hat keine shell (das Programm ``passwd`` wird an Stelle einer shell gestartet). |
|
99 |
|
|
100 |
Rechte: |
|
101 |
* nur Passwortänderung möglich. |
|
102 |
|
|
103 |
.. role:: Datenbank-Nutzer |
|
104 |
|
|
105 |
Funktion: |
|
106 |
|
|
107 |
Alle Datenbanken sollten aus Sicherheitsgründen unter dem Account eines |
|
108 |
gesonderten Datenbank-Nutzers laufen. |
|
109 |
Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` eingerichtet. |
|
110 |
Der Paket-Admin ordnet die Datenbank-Nutzer den verwendeten Datenbanken |
|
111 |
zu. |
|
112 |
Die Datenbank-Systeme selbst haben jeweils ihre eigene Nutzer-Verwaltung, |
|
113 |
die unabhängig von der Vergabe von Rechten auf Betriebssystemebene sind. |
|
114 |
|
|
115 |
Rechte: |
|
116 |
* Die jeweils zugewiesenen Rechte an einer oder mehreren :doc:`Datenbanken<../datenbanken/index>`. |
|
117 |
|
|
118 |
.. role:: Domain-Verwalter |
|
119 |
|
|
120 |
Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem. |
|
121 |
Der Account: |
|
122 |
|
|
123 |
* ist initial vorhanden, |
|
124 |
* hat den Namen hs-xyz, |
|
125 |
* hat ein eigenes Passwort. |
|
126 |
|
|
127 |
Rechte |
|
128 |
------ |
|
129 |
|
|
130 |
* Domains bestellen, kündigen, transferieren |
|
131 |
* Inhaberdaten ändern |
|
132 |
* Kontaktdaten ändern |
|
133 |
* Handle-Verwaltung |
|
134 |
|
|
135 |
Weitere Informationen zum Domain-Bestell-System unter :doc:`Domainverwaltung<../domain/domainverwaltung>`. |