Jan Ulrich Hasecke
2019-11-05 ff7e66bc3575849517f72662e1ad3a703fff5e0f
commit | author | age
939940 1 .. _kap-benutzerrollen:
JUH 2
0a126d 3 ==============
JUH 4 Benutzerrollen
5 ==============
6
ff7e66 7 Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie im Debian-Betriebssystem unter verschiedenen Benutzern mit jeweils klar definierten Rechten.
0a126d 8 Dies gilt auch für die Aufgaben, die man als Nutzer der Plattform in seinem Web-Paket erledigt.
JUH 9 Wer mit der Managed Operations Platform Webanwendungen betreibt, muss im Laufe der Zeit zahlreiche Benutzer anlegen.
10 Jeder Benutzer erfüllt eine spezielle Rolle.
11 Die Rollen werden durch die Vergabe von Rechten auf Betriebssystemebene definiert.
12 Für Personen, die bisher noch nicht mit Unix-Systemen und dem Konzept unterschiedlicher Benutzer gearbeitet haben, stellt dieses Mehrbenutzerkonzept am Anfang eine Hürde dar.
13 Ausführliche Unix-Kenntnisse sind nicht erforderlich, um auf der Hostsharing-Plattform Benutzer anzulegen, da das Verwaltungswerkzeug :program:`HSAdmin` diese Aufgabe vereinfacht. 
14 Da in diesem Handbuch die Kenntnis der Rollen an vielen Stellen vorausgesetzt wird, werden sie in diesem Kapitel ausführlich beschrieben.
15
16 .. role:: Mitglied
17
18    Die Rolle *Mitglied* ist abhängig von der Mitgliedschaft und wird beim Eintritt in die Genossenschaft angelegt. 
19    Die Rolle ist technisch unabhängig von anderen Rollen.
20    Nach Austritt aus der Genossenschaft wird die Rolle gelöscht.
21
22    Funktion:
23       Mit dem Mitglieds-Account verwalten Sie Ihre Mitgliedschaft bei Hostsharing.
24       Sie können mit Ihrem Mitglieds-Acoount Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen.
25       Als Reseller können Sie die Rolle nutzen, um die Web-Pakete Ihrer Kunden zu verwalten.
26
27    Ausstattung:
28       * jeweils nur ein Benutzer mit dieser Rolle pro Mitglied
29       * Benutzername besteht aus drei Buchstaben, z.B.: :term:`xyz`
30       * keine Shell
31       * eigenes Passwort
32
33    Rechte:
34       * kann die :doc:`Web-Pakete</referenz/webpaket/index>` des Mitglieds verwalten
35       * kann die Rechte eines :doc:`Paket-Admins <paket-admin>` annehmen
36       * kann Rechnungen herunterladen
37       * kann Mitgliederdaten (Anschrift etc.) verwalten
38
39 .. role:: Paket-Admin
40
41    Der Paket-Admin wird beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet.
42
43    Funktion:
44       Mit dem Paket-Admin verwaltet das Mitglied sein Web-Paket.
45       Er legt Benutzer, Datenbanken und Domains an und verwaltet sie.
46
47    Ausstattung:
48       * mehrere Benutzer mit dieser Rolle pro Mitglied möglich
49       * Benutzername besteht aus dem Mitgliedskürzel und der Nummer des Webpakets, z.B.: :term:`xyz00`
50       * der Benutzer hat eine reguläre :term:`shell` z.B. ``/bin/bash``
ff7e66 51
JUH 52         Die Anmeldung als Paket-Admin auf der Plattform erfolgt via :command:`ssh`:
53
54         .. code-block:: console
55
56            $ ssh xyz00@xyz00.hostsharing.net
57            
0a126d 58       * eigenes E-Mail-Postfach
JUH 59       * eigenes Passwort
60    
61    Rechte:
62       * kann :ref:`Domains <kap-ref-domain>`, :role:`Domain-Admins <Domain-Admin>`, :role:`Datenbank-Nutzer` und :ref:`Datenbanken<kap-ref-db>` einrichten, verändern und löschen
63       * kann Domains einem :doc:`Domain-Admin <domain-admin>` zuordnen
64       * kann die Rechte anderer Benutzer in seinem Web-Paket annehmen
65  
66       .. warning:: 
67            Eine Domain kann zwar technisch auf den Account des Paket-Admins aufgeschaltet werden. Aus Sicherheitsgründen empfiehlt es sich aber Domains auf separate Domain-Admins aufzuschalten.
68       
69       Rechte eines anderen Benutzers annehmen:
70       
71       .. code-block:: console
72           
73           $ sudo -u xyz00-abc -i
74       
75       Bei einem Benutzer ohne :term:`shell`:
76       
77       .. code-block:: console
78       
79           $ sudo -u xyz00-abc -s
80    
81
82 .. role:: Domain-Admin
83
84    Funktion:
85       Der Domain-Admin verwaltet seine Domain(s) in einem eigenen Benutzerkonto.
86       Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` angelegt.
87
88    Ausstattung:
89       * hat eine reguläre Shell (z.B. ``/bin/bash``)
90       * hat eine Verzeichnisstruktur für seine Domain(s) unterhalb ``~/doms/``,
91       * besitzt ein eigenes E-Mail-Postfach.
92    
93    Rechte:
94      * kann Sub-Domains anlegen (vgl. Kapitel :ref:`kap-ref-subdomains`)
95      * kann die Zonen-Daten einer Domain bearbeiten (vgl. Kapitel :ref:`kap-ref-zonefile`)
96      * kann Dateien und Verzeichnisse in seinem Benutzerkonto anlegen oder ändern
97
98 .. role:: E-Mail-Benutzer
99
100    Funktion:
101       Die Rolle E-Mail-Postfach wird initial beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet und verwaltet seine E-Mails.
102
103    Ausstattung:
104       * wird durch den :doc:`Paket-Admin<paket-admin>` angelegt,
105       * hat keine shell (das Programm ``passwd`` wird an Stelle einer shell gestartet).
106    
107    Rechte:
108       * nur Passwortänderung möglich.
109
110 .. role:: Datenbank-Nutzer
111
112    Funktion: 
113
114       Alle Datenbanken sollten aus Sicherheitsgründen unter dem Account eines
115       gesonderten Datenbank-Nutzers laufen.  
116       Benutzer mit dieser Rolle werden vom :role:`Paket-Admin` eingerichtet.
117       Der Paket-Admin ordnet die Datenbank-Nutzer den verwendeten Datenbanken
118       zu. 
119       Die Datenbank-Systeme selbst haben jeweils ihre eigene Nutzer-Verwaltung, 
120       die unabhängig von der Vergabe von Rechten auf Betriebssystemebene sind.
121    
122    Rechte:
123       * Die jeweils zugewiesenen Rechte an einer oder mehreren :doc:`Datenbanken<../datenbanken/index>`.
124
125 .. role:: Domain-Verwalter
126
127    Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem.
128    Der Account: 
129    
130    * ist initial vorhanden,
131    * hat den Namen hs-xyz,
132    * hat ein eigenes Passwort.
133    
134    Rechte
135    ------
136    
137    * Domains bestellen, kündigen, transferieren
138    * Inhaberdaten ändern
139    * Kontaktdaten ändern
140    * Handle-Verwaltung
141      
142    Weitere Informationen zum Domain-Bestell-System unter :doc:`Domainverwaltung<../domain/domainverwaltung>`.