| commit | author | age | ||
| 939940 | 1 | .. _kap-benutzerrollen: |
| JUH | 2 | |
| 0a126d | 3 | ============== |
| JUH | 4 | Benutzerrollen |
| 5 | ============== | |
| 6 | ||
| 7 | Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie unter verschiedenen Benutzern mit jeweils klar definierten Rechten. | |
| 8 | Dies gilt auch für die Aufgaben, die man als Nutzer der Plattform in seinem Web-Paket erledigt. | |
| 9 | Wer mit der Managed Operations Platform Webanwendungen betreibt, muss im Laufe der Zeit zahlreiche Benutzer anlegen. | |
| 10 | Jeder Benutzer erfüllt eine spezielle Rolle. | |
| 11 | Die Rollen werden durch die Vergabe von Rechten auf Betriebssystemebene definiert. | |
| 12 | Für Personen, die bisher noch nicht mit Unix-Systemen und dem Konzept unterschiedlicher Benutzer gearbeitet haben, stellt dieses Mehrbenutzerkonzept am Anfang eine Hürde dar. | |
| 13 | Ausführliche Unix-Kenntnisse sind nicht erforderlich, um auf der Hostsharing-Plattform Benutzer anzulegen, da das Verwaltungswerkzeug :program:`HSAdmin` diese Aufgabe vereinfacht. | |
| 14 | Da in diesem Handbuch die Kenntnis der Rollen an vielen Stellen vorausgesetzt wird, werden sie in diesem Kapitel ausführlich beschrieben. | |
| 15 | ||
| 16 | .. role:: Mitglied | |
| 17 | ||
| 18 | Die Rolle *Mitglied* ist abhängig von der Mitgliedschaft und wird beim Eintritt in die Genossenschaft angelegt. | |
| 19 | Die Rolle ist technisch unabhängig von anderen Rollen. | |
| 20 | Nach Austritt aus der Genossenschaft wird die Rolle gelöscht. | |
| 21 | ||
| 22 | Funktion: | |
| 23 | Mit dem Mitglieds-Account verwalten Sie Ihre Mitgliedschaft bei Hostsharing. | |
| 24 | Sie können mit Ihrem Mitglieds-Acoount Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen. | |
| 25 | Als Reseller können Sie die Rolle nutzen, um die Web-Pakete Ihrer Kunden zu verwalten. | |
| 26 | ||
| 27 | Ausstattung: | |
| 28 | * jeweils nur ein Benutzer mit dieser Rolle pro Mitglied | |
| 29 | * Benutzername besteht aus drei Buchstaben, z.B.: :term:`xyz` | |
| 30 | * keine Shell | |
| 31 | * eigenes Passwort | |
| 32 | ||
| 33 | Rechte: | |
| 34 | * kann die :doc:`Web-Pakete</referenz/webpaket/index>` des Mitglieds verwalten | |
| 35 | * kann die Rechte eines :doc:`Paket-Admins <paket-admin>` annehmen | |
| 36 | * kann Rechnungen herunterladen | |
| 37 | * kann Mitgliederdaten (Anschrift etc.) verwalten | |
| 38 | ||
| 39 | .. role:: Paket-Admin | |
| 40 | ||
| 41 | Der Paket-Admin wird beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet. | |
| 42 | ||
| 43 | Funktion: | |
| 44 | Mit dem Paket-Admin verwaltet das Mitglied sein Web-Paket. | |
| 45 | Er legt Benutzer, Datenbanken und Domains an und verwaltet sie. | |
| 46 | ||
| 47 | Ausstattung: | |
| 48 | * mehrere Benutzer mit dieser Rolle pro Mitglied möglich | |
| 49 | * Benutzername besteht aus dem Mitgliedskürzel und der Nummer des Webpakets, z.B.: :term:`xyz00` | |
| 50 | * der Benutzer hat eine reguläre :term:`shell` z.B. ``/bin/bash`` | |
| 51 | * eigenes E-Mail-Postfach | |
| 52 | * eigenes Passwort | |
| 53 | ||
| 54 | Rechte: | |
| 55 | * kann :ref:`Domains <kap-ref-domain>`, :role:`Domain-Admins <Domain-Admin>`, :role:`Datenbank-Nutzer` und :ref:`Datenbanken<kap-ref-db>` einrichten, verändern und löschen | |
| 56 | * kann Domains einem :doc:`Domain-Admin <domain-admin>` zuordnen | |
| 57 | * kann die Rechte anderer Benutzer in seinem Web-Paket annehmen | |
| 58 | ||
| 59 | .. warning:: | |
| 60 | Eine Domain kann zwar technisch auf den Account des Paket-Admins aufgeschaltet werden. Aus Sicherheitsgründen empfiehlt es sich aber Domains auf separate Domain-Admins aufzuschalten. | |
| 61 | ||
| 62 | Rechte eines anderen Benutzers annehmen: | |
| 63 | ||
| 64 | .. code-block:: console | |
| 65 | ||
| 66 | $ sudo -u xyz00-abc -i | |
| 67 | ||
| 68 | Bei einem Benutzer ohne :term:`shell`: | |
| 69 | ||
| 70 | .. code-block:: console | |
| 71 | ||
| 72 | $ sudo -u xyz00-abc -s | |
| 73 | ||
| 74 | ||
| 75 | .. role:: Domain-Admin | |
| 76 | ||
| 77 | Funktion: | |
| 78 | Der Domain-Admin verwaltet seine Domain(s) in einem eigenen Benutzerkonto. | |
| 79 | Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` angelegt. | |
| 80 | ||
| 81 | Ausstattung: | |
| 82 | * hat eine reguläre Shell (z.B. ``/bin/bash``) | |
| 83 | * hat eine Verzeichnisstruktur für seine Domain(s) unterhalb ``~/doms/``, | |
| 84 | * besitzt ein eigenes E-Mail-Postfach. | |
| 85 | ||
| 86 | Rechte: | |
| 87 | * kann Sub-Domains anlegen (vgl. Kapitel :ref:`kap-ref-subdomains`) | |
| 88 | * kann die Zonen-Daten einer Domain bearbeiten (vgl. Kapitel :ref:`kap-ref-zonefile`) | |
| 89 | * kann Dateien und Verzeichnisse in seinem Benutzerkonto anlegen oder ändern | |
| 90 | ||
| 91 | .. role:: E-Mail-Benutzer | |
| 92 | ||
| 93 | Funktion: | |
| 94 | Die Rolle E-Mail-Postfach wird initial beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet und verwaltet seine E-Mails. | |
| 95 | ||
| 96 | Ausstattung: | |
| 97 | * wird durch den :doc:`Paket-Admin<paket-admin>` angelegt, | |
| 98 | * hat keine shell (das Programm ``passwd`` wird an Stelle einer shell gestartet). | |
| 99 | ||
| 100 | Rechte: | |
| 101 | * nur Passwortänderung möglich. | |
| 102 | ||
| 103 | .. role:: Datenbank-Nutzer | |
| 104 | ||
| 105 | Funktion: | |
| 106 | ||
| 107 | Alle Datenbanken sollten aus Sicherheitsgründen unter dem Account eines | |
| 108 | gesonderten Datenbank-Nutzers laufen. | |
| 109 | Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` eingerichtet. | |
| 110 | Der Paket-Admin ordnet die Datenbank-Nutzer den verwendeten Datenbanken | |
| 111 | zu. | |
| 112 | Die Datenbank-Systeme selbst haben jeweils ihre eigene Nutzer-Verwaltung, | |
| 113 | die unabhängig von der Vergabe von Rechten auf Betriebssystemebene sind. | |
| 114 | ||
| 115 | Rechte: | |
| 116 | * Die jeweils zugewiesenen Rechte an einer oder mehreren :doc:`Datenbanken<../datenbanken/index>`. | |
| 117 | ||
| 118 | .. role:: Domain-Verwalter | |
| 119 | ||
| 120 | Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem. | |
| 121 | Der Account: | |
| 122 | ||
| 123 | * ist initial vorhanden, | |
| 124 | * hat den Namen hs-xyz, | |
| 125 | * hat ein eigenes Passwort. | |
| 126 | ||
| 127 | Rechte | |
| 128 | ------ | |
| 129 | ||
| 130 | * Domains bestellen, kündigen, transferieren | |
| 131 | * Inhaberdaten ändern | |
| 132 | * Kontaktdaten ändern | |
| 133 | * Handle-Verwaltung | |
| 134 | ||
| 135 | Weitere Informationen zum Domain-Bestell-System unter :doc:`Domainverwaltung<../domain/domainverwaltung>`. | |
