edit | blame | history | raw

Benutzerrollen {#kap-benutzerrollen}

Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen,
laufen sie im Debian-Betriebssystem unter verschiedenen Benutzern mit
jeweils klar definierten Rechten. Dies gilt auch für die Aufgaben, die
man als Nutzer der Plattform in seinem Web-Paket erledigt. Wer mit der
Managed Operations Platform Webanwendungen betreibt, muss im Laufe der
Zeit zahlreiche Benutzer anlegen. Jeder Benutzer erfüllt eine spezielle
Rolle. Die Rollen werden durch die Vergabe von Rechten auf
Betriebssystemebene definiert. Für Personen, die bisher noch nicht mit
Unix-Systemen und dem Konzept unterschiedlicher Benutzer gearbeitet
haben, stellt dieses Mehrbenutzerkonzept am Anfang eine Hürde dar.
Ausführliche Unix-Kenntnisse sind nicht erforderlich, um auf der
Hostsharing-Plattform Benutzer anzulegen, da das Verwaltungswerkzeug
HSAdmin{.interpreted-text role="program"} diese Aufgabe vereinfacht.
Da in diesem Handbuch die Kenntnis der Rollen an vielen Stellen
vorausgesetzt wird, werden sie in diesem Kapitel ausführlich
beschrieben.

Benutzerrechte {#kap-benutzerrechte}

HSAdmin bietet uns die Möglichkeit, dem Benutzer eine Login-Shell für
interaktive Sitzungen zuzuordnen oder genau dies zu verhindern. Wir
haben die Wahl zwischen den Kommandointerpretern
bash{.interpreted-text role="program"}, csh{.interpreted-text
role="program"}, ksh{.interpreted-text role="program"},
tcsh{.interpreted-text role="program"} oder zsh{.interpreted-text
role="program"} und den Programmen false{.interpreted-text
role="program"}, passwd{.interpreted-text role="program"} und
scponly{.interpreted-text role="program"}. Abb.
fig-hsadmin-shell{.interpreted-text role="numref"} zeigt das
entsprechende Menü.

::: {#fig-hsadmin-shell}
Das Auswahlmenü mit den Shell- und<br/>Kommando-Interpretern.{width="100.0%"}
:::

/bin/false

Benutzer, denen das Programm /bin/false{.interpreted-text
role="program"} als Shell zugeordnet wird, können sich nicht in
ihrem Account einloggen und eine interaktive Sitzung starten. Diese
Einstellung eignet sich für Systembenutzer, die Programme im
Webpaket ausführen. sich aber nicht von außen einloggen sollen. Dies
können auch Mail-Benutzer sein.

/bin/bash

Die
Bourne-Again-Shell.
Auf vielen Linuxsystemen ist dies die Standard-Shell.

/bin/csh

Die C-Shell.

/bin/ksh

Die
Korn-Shell.

/bin/tcsh

Eine erweiterte
C-Shell
.

/bin/zsh

Die
Z-Shell.

/usr/bin/passwd

Benutzer, denen das Programm /usr/bin/passwd{.interpreted-text
role="program"} zugeordnet wird, können beim Versuch, sich mit
ssh{.interpreted-text role="program"} einzuloggen, ihr Passwort
ändern. Eine interaktive Sitzung können sie jedoch nicht starten.
Dies ist sinnvoll, um Benutzern ein größeres Maß an Vertraulichkeit
ihrer Kommunikation zu ermöglichen. Der Paket-Admin setzt für den
E-Mail-Benutzer zwar ein initiales Passwort, der Benutzer kann dies
aber sogleich ändern, sodass der Paket-Admin den E-Mail-Verkehr des
Benutzers nicht unbemerkt mitlesen kann.

/usr/bin/scponly

Diese Zuordnung ermöglicht dem Benutzer den Gebrauch der Programme
scp{.interpreted-text role="program"} und sftp{.interpreted-text
role="program"}. Eine interaktive Sitzung ist nicht möglich.