Jan Ulrich Hasecke
2021-04-16 166d185f61afc414d4ca8cea5878cc0e136a493c
source/referenz/benutzer/index.rst
@@ -4,7 +4,7 @@
Benutzerrollen
==============
Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie unter verschiedenen Benutzern mit jeweils klar definierten Rechten.
Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie im Debian-Betriebssystem unter verschiedenen Benutzern mit jeweils klar definierten Rechten.
Dies gilt auch für die Aufgaben, die man als Nutzer der Plattform in seinem Web-Paket erledigt.
Wer mit der Managed Operations Platform Webanwendungen betreibt, muss im Laufe der Zeit zahlreiche Benutzer anlegen.
Jeder Benutzer erfüllt eine spezielle Rolle.
@@ -21,7 +21,7 @@
   Funktion:
      Mit dem Mitglieds-Account verwalten Sie Ihre Mitgliedschaft bei Hostsharing.
      Sie können mit Ihrem Mitglieds-Acoount Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen.
      Sie können mit Ihrem Mitglieds-Account Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen.
      Als Reseller können Sie die Rolle nutzen, um die Web-Pakete Ihrer Kunden zu verwalten.
   Ausstattung:
@@ -32,7 +32,7 @@
   Rechte:
      * kann die :doc:`Web-Pakete</referenz/webpaket/index>` des Mitglieds verwalten
      * kann die Rechte eines :doc:`Paket-Admins <paket-admin>` annehmen
      * kann die Rechte eines :role:`Paket-Admins <Paket-Admin>` annehmen
      * kann Rechnungen herunterladen
      * kann Mitgliederdaten (Anschrift etc.) verwalten
@@ -48,12 +48,19 @@
      * mehrere Benutzer mit dieser Rolle pro Mitglied möglich
      * Benutzername besteht aus dem Mitgliedskürzel und der Nummer des Webpakets, z.B.: :term:`xyz00`
      * der Benutzer hat eine reguläre :term:`shell` z.B. ``/bin/bash``
        Die Anmeldung als Paket-Admin auf der Plattform erfolgt via :command:`ssh`:
        .. code-block:: console
           $ ssh xyz00@xyz00.hostsharing.net
      * eigenes E-Mail-Postfach
      * eigenes Passwort
   
   Rechte:
      * kann :ref:`Domains <kap-ref-domain>`, :role:`Domain-Admins <Domain-Admin>`, :role:`Datenbank-Nutzer` und :ref:`Datenbanken<kap-ref-db>` einrichten, verändern und löschen
      * kann Domains einem :doc:`Domain-Admin <domain-admin>` zuordnen
      * kann Domains einem :role:`Domain-Admin` zuordnen
      * kann die Rechte anderer Benutzer in seinem Web-Paket annehmen
 
      .. warning:: 
@@ -84,17 +91,18 @@
      * besitzt ein eigenes E-Mail-Postfach.
   
   Rechte:
     * kann Sub-Domains anlegen (vgl. Kapitel :ref:`kap-ref-subdomains`)
     * kann die Zonen-Daten einer Domain bearbeiten (vgl. Kapitel :ref:`kap-ref-zonefile`)
     * kann Sub-Domains anlegen (vgl. :numref:`kap-ref-subdomains`)
     * kann die Zonen-Daten einer Domain bearbeiten (vgl. :numref:`kap-ref-zonefile`)
     * kann Dateien und Verzeichnisse in seinem Benutzerkonto anlegen oder ändern
.. role:: E-Mail-Benutzer
   Funktion:
      Die Rolle E-Mail-Postfach wird initial beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet und verwaltet seine E-Mails.
      Der E-Mail-Benutzer ist ein Unix-Benutzer, der nur über ein Postfach verfügt.
      In seinem Benutzerverzeichnis wird beim Anlegen automatisch das Verzeichnis :file:`Maildir` angelegt.
   Ausstattung:
      * wird durch den :doc:`Paket-Admin<paket-admin>` angelegt,
      * wird durch den :role:`Paket-Admin` angelegt,
      * hat keine shell (das Programm ``passwd`` wird an Stelle einer shell gestartet).
   
   Rechte:
@@ -115,21 +123,62 @@
   Rechte:
      * Die jeweils zugewiesenen Rechte an einer oder mehreren :doc:`Datenbanken<../datenbanken/index>`.
.. role:: Domain-Verwalter
.. role:: Reseller-ID
   Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem.
   Dies ist ein Benutzerkonto für die Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem.
   Der Account: 
   
   * ist initial vorhanden,
   * hat den Namen hs-xyz,
   * hat das Namensschema hs-xyz,
   * hat ein eigenes Passwort.
   
   Rechte
   ------
   Rechte:
   * Domains bestellen, kündigen, transferieren
   * Inhaberdaten ändern
   * Kontaktdaten ändern
   * Handle-Verwaltung
     
   Weitere Informationen zum Domain-Bestell-System unter :doc:`Domainverwaltung<../domain/domainverwaltung>`.
.. _kap-benutzerrechte:
==============
Benutzerrechte
==============
HSAdmin bietet uns die Möglichkeit, dem Benutzer eine Login-Shell für interaktive Sitzungen zuzuordnen oder genau dies zu verhindern.
Wir haben die Wahl zwischen den Kommandointerpretern :program:`bash`, :program:`csh`, :program:`ksh`, :program:`tcsh` oder :program:`zsh` und den Programmen :program:`false`, :program:`passwd` und :program:`scponly`.
Abb. :numref:`fig-hsadmin-shell` zeigt das entsprechende Menü.
.. _fig-hsadmin-shell:
.. figure:: ../../images/hsadmin-benutzershells.*
   :width: 100%
   Das Auswahlmenü mit den Shell- und Kommando-Interpretern.
/bin/false
    Benutzer, denen das Programm :program:`/bin/false` als Shell zugeordnet wird, können sich nicht in ihrem Account einloggen und eine interaktive Sitzung starten.
    Diese Einstellung eignet sich für Systembenutzer, die Programme im Webpaket ausführen. sich aber nicht von außen einloggen sollen.
    Dies können auch Mail-Benutzer sein.
/bin/bash
    Die `Bourne-Again-Shell <https://manpages.debian.org/buster/bash/bash.1.en.html>`_.
    Auf vielen Linuxsystemen ist dies die Standard-Shell.
/bin/csh
    Die `C-Shell <https://manpages.debian.org/buster/csh/csh.1.en.html>`_.
/bin/ksh
    Die `Korn-Shell <https://manpages.debian.org/buster/ksh/ksh.1.en.html>`_.
/bin/tcsh
    Eine `C-Shell <https://manpages.debian.org/buster/tcsh/tcsh.1.en.html>`_ mit Erweiterungen.
/bin/zsh
    Die `Z-Shell <https://manpages.debian.org/buster/zsh-common/zsh.1.en.html>`_.
/usr/bin/passwd
    Benutzer, denen das Programm :program:`/usr/bin/passwd` zugeordnet wird, können beim Versuch, sich mit :program:`ssh` einzuloggen, ihr Passwort ändern.
    Eine interaktive Sitzung können sie jedoch nicht starten.
    Dies ist sinnvoll, um Benutzern ein größeres Maß an Vertraulichkeit ihrer Kommunikation zu ermöglichen.
    Der Paket-Admin setzt für den E-Mail-Benutzer zwar ein initiales Passwort, der Benutzer kann dies aber sogleich ändern, sodass der Paket-Admin den E-Mail-Verkehr des Benutzers nicht unbemerkt mitlesen kann.
/usr/bin/scponly
    Diese Zuordnung ermöglicht dem Benutzer den Gebrauch der Programme :program:`scp` und :program:`sftp`.
    Eine interaktive Sitzung ist nicht möglich.