Jan Ulrich Hasecke
2019-10-24 939940925a34d1d1bde89143145e17ee5f4b6636
commit | author | age
939940 1 .. _kap-benutzerrollen:
JUH 2
0a126d 3 ==============
JUH 4 Benutzerrollen
5 ==============
6
7 Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie unter verschiedenen Benutzern mit jeweils klar definierten Rechten.
8 Dies gilt auch für die Aufgaben, die man als Nutzer der Plattform in seinem Web-Paket erledigt.
9 Wer mit der Managed Operations Platform Webanwendungen betreibt, muss im Laufe der Zeit zahlreiche Benutzer anlegen.
10 Jeder Benutzer erfüllt eine spezielle Rolle.
11 Die Rollen werden durch die Vergabe von Rechten auf Betriebssystemebene definiert.
12 Für Personen, die bisher noch nicht mit Unix-Systemen und dem Konzept unterschiedlicher Benutzer gearbeitet haben, stellt dieses Mehrbenutzerkonzept am Anfang eine Hürde dar.
13 Ausführliche Unix-Kenntnisse sind nicht erforderlich, um auf der Hostsharing-Plattform Benutzer anzulegen, da das Verwaltungswerkzeug :program:`HSAdmin` diese Aufgabe vereinfacht. 
14 Da in diesem Handbuch die Kenntnis der Rollen an vielen Stellen vorausgesetzt wird, werden sie in diesem Kapitel ausführlich beschrieben.
15
16 .. role:: Mitglied
17
18    Die Rolle *Mitglied* ist abhängig von der Mitgliedschaft und wird beim Eintritt in die Genossenschaft angelegt. 
19    Die Rolle ist technisch unabhängig von anderen Rollen.
20    Nach Austritt aus der Genossenschaft wird die Rolle gelöscht.
21
22    Funktion:
23       Mit dem Mitglieds-Account verwalten Sie Ihre Mitgliedschaft bei Hostsharing.
24       Sie können mit Ihrem Mitglieds-Acoount Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen.
25       Als Reseller können Sie die Rolle nutzen, um die Web-Pakete Ihrer Kunden zu verwalten.
26
27    Ausstattung:
28       * jeweils nur ein Benutzer mit dieser Rolle pro Mitglied
29       * Benutzername besteht aus drei Buchstaben, z.B.: :term:`xyz`
30       * keine Shell
31       * eigenes Passwort
32
33    Rechte:
34       * kann die :doc:`Web-Pakete</referenz/webpaket/index>` des Mitglieds verwalten
35       * kann die Rechte eines :doc:`Paket-Admins <paket-admin>` annehmen
36       * kann Rechnungen herunterladen
37       * kann Mitgliederdaten (Anschrift etc.) verwalten
38
39 .. role:: Paket-Admin
40
41    Der Paket-Admin wird beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet.
42
43    Funktion:
44       Mit dem Paket-Admin verwaltet das Mitglied sein Web-Paket.
45       Er legt Benutzer, Datenbanken und Domains an und verwaltet sie.
46
47    Ausstattung:
48       * mehrere Benutzer mit dieser Rolle pro Mitglied möglich
49       * Benutzername besteht aus dem Mitgliedskürzel und der Nummer des Webpakets, z.B.: :term:`xyz00`
50       * der Benutzer hat eine reguläre :term:`shell` z.B. ``/bin/bash``
51       * eigenes E-Mail-Postfach
52       * eigenes Passwort
53    
54    Rechte:
55       * kann :ref:`Domains <kap-ref-domain>`, :role:`Domain-Admins <Domain-Admin>`, :role:`Datenbank-Nutzer` und :ref:`Datenbanken<kap-ref-db>` einrichten, verändern und löschen
56       * kann Domains einem :doc:`Domain-Admin <domain-admin>` zuordnen
57       * kann die Rechte anderer Benutzer in seinem Web-Paket annehmen
58  
59       .. warning:: 
60            Eine Domain kann zwar technisch auf den Account des Paket-Admins aufgeschaltet werden. Aus Sicherheitsgründen empfiehlt es sich aber Domains auf separate Domain-Admins aufzuschalten.
61       
62       Rechte eines anderen Benutzers annehmen:
63       
64       .. code-block:: console
65           
66           $ sudo -u xyz00-abc -i
67       
68       Bei einem Benutzer ohne :term:`shell`:
69       
70       .. code-block:: console
71       
72           $ sudo -u xyz00-abc -s
73    
74
75 .. role:: Domain-Admin
76
77    Funktion:
78       Der Domain-Admin verwaltet seine Domain(s) in einem eigenen Benutzerkonto.
79       Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` angelegt.
80
81    Ausstattung:
82       * hat eine reguläre Shell (z.B. ``/bin/bash``)
83       * hat eine Verzeichnisstruktur für seine Domain(s) unterhalb ``~/doms/``,
84       * besitzt ein eigenes E-Mail-Postfach.
85    
86    Rechte:
87      * kann Sub-Domains anlegen (vgl. Kapitel :ref:`kap-ref-subdomains`)
88      * kann die Zonen-Daten einer Domain bearbeiten (vgl. Kapitel :ref:`kap-ref-zonefile`)
89      * kann Dateien und Verzeichnisse in seinem Benutzerkonto anlegen oder ändern
90
91 .. role:: E-Mail-Benutzer
92
93    Funktion:
94       Die Rolle E-Mail-Postfach wird initial beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet und verwaltet seine E-Mails.
95
96    Ausstattung:
97       * wird durch den :doc:`Paket-Admin<paket-admin>` angelegt,
98       * hat keine shell (das Programm ``passwd`` wird an Stelle einer shell gestartet).
99    
100    Rechte:
101       * nur Passwortänderung möglich.
102
103 .. role:: Datenbank-Nutzer
104
105    Funktion: 
106
107       Alle Datenbanken sollten aus Sicherheitsgründen unter dem Account eines
108       gesonderten Datenbank-Nutzers laufen.  
109       Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` eingerichtet.
110       Der Paket-Admin ordnet die Datenbank-Nutzer den verwendeten Datenbanken
111       zu. 
112       Die Datenbank-Systeme selbst haben jeweils ihre eigene Nutzer-Verwaltung, 
113       die unabhängig von der Vergabe von Rechten auf Betriebssystemebene sind.
114    
115    Rechte:
116       * Die jeweils zugewiesenen Rechte an einer oder mehreren :doc:`Datenbanken<../datenbanken/index>`.
117
118 .. role:: Domain-Verwalter
119
120    Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem.
121    Der Account: 
122    
123    * ist initial vorhanden,
124    * hat den Namen hs-xyz,
125    * hat ein eigenes Passwort.
126    
127    Rechte
128    ------
129    
130    * Domains bestellen, kündigen, transferieren
131    * Inhaberdaten ändern
132    * Kontaktdaten ändern
133    * Handle-Verwaltung
134      
135    Weitere Informationen zum Domain-Bestell-System unter :doc:`Domainverwaltung<../domain/domainverwaltung>`.