| | |
|---|
| | | Benutzerrollen |
|---|
| | | ============== |
|---|
| | | |
|---|
| | | Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie unter verschiedenen Benutzern mit jeweils klar definierten Rechten. |
|---|
| | | Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen, laufen sie im Debian-Betriebssystem unter verschiedenen Benutzern mit jeweils klar definierten Rechten. |
|---|
| | | Dies gilt auch für die Aufgaben, die man als Nutzer der Plattform in seinem Web-Paket erledigt. |
|---|
| | | Wer mit der Managed Operations Platform Webanwendungen betreibt, muss im Laufe der Zeit zahlreiche Benutzer anlegen. |
|---|
| | | Jeder Benutzer erfüllt eine spezielle Rolle. |
|---|
| | |
|---|
| | | |
|---|
| | | Funktion: |
|---|
| | | Mit dem Mitglieds-Account verwalten Sie Ihre Mitgliedschaft bei Hostsharing. |
|---|
| | | Sie können mit Ihrem Mitglieds-Acoount Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen. |
|---|
| | | Sie können mit Ihrem Mitglieds-Account Ihre Mitgliedsdaten verwalten und Rechnungen herunterladen. |
|---|
| | | Als Reseller können Sie die Rolle nutzen, um die Web-Pakete Ihrer Kunden zu verwalten. |
|---|
| | | |
|---|
| | | Ausstattung: |
|---|
| | |
|---|
| | | |
|---|
| | | Rechte: |
|---|
| | | * kann die :doc:`Web-Pakete</referenz/webpaket/index>` des Mitglieds verwalten |
|---|
| | | * kann die Rechte eines :doc:`Paket-Admins <paket-admin>` annehmen |
|---|
| | | * kann die Rechte eines :role:`Paket-Admins <Paket-Admin>` annehmen |
|---|
| | | * kann Rechnungen herunterladen |
|---|
| | | * kann Mitgliederdaten (Anschrift etc.) verwalten |
|---|
| | | |
|---|
| | |
|---|
| | | * mehrere Benutzer mit dieser Rolle pro Mitglied möglich |
|---|
| | | * Benutzername besteht aus dem Mitgliedskürzel und der Nummer des Webpakets, z.B.: :term:`xyz00` |
|---|
| | | * der Benutzer hat eine reguläre :term:`shell` z.B. ``/bin/bash`` |
|---|
| | | |
|---|
| | | Die Anmeldung als Paket-Admin auf der Plattform erfolgt via :command:`ssh`: |
|---|
| | | |
|---|
| | | .. code-block:: console |
|---|
| | | |
|---|
| | | $ ssh xyz00@xyz00.hostsharing.net |
|---|
| | | |
|---|
| | | * eigenes E-Mail-Postfach |
|---|
| | | * eigenes Passwort |
|---|
| | | |
|---|
| | | Rechte: |
|---|
| | | * kann :ref:`Domains <kap-ref-domain>`, :role:`Domain-Admins <Domain-Admin>`, :role:`Datenbank-Nutzer` und :ref:`Datenbanken<kap-ref-db>` einrichten, verändern und löschen |
|---|
| | | * kann Domains einem :doc:`Domain-Admin <domain-admin>` zuordnen |
|---|
| | | * kann Domains einem :role:`Domain-Admin` zuordnen |
|---|
| | | * kann die Rechte anderer Benutzer in seinem Web-Paket annehmen |
|---|
| | | |
|---|
| | | .. warning:: |
|---|
| | |
|---|
| | | * besitzt ein eigenes E-Mail-Postfach. |
|---|
| | | |
|---|
| | | Rechte: |
|---|
| | | * kann Sub-Domains anlegen (vgl. Kapitel :ref:`kap-ref-subdomains`) |
|---|
| | | * kann die Zonen-Daten einer Domain bearbeiten (vgl. Kapitel :ref:`kap-ref-zonefile`) |
|---|
| | | * kann Sub-Domains anlegen (vgl. :numref:`kap-ref-subdomains`) |
|---|
| | | * kann die Zonen-Daten einer Domain bearbeiten (vgl. :numref:`kap-ref-zonefile`) |
|---|
| | | * kann Dateien und Verzeichnisse in seinem Benutzerkonto anlegen oder ändern |
|---|
| | | |
|---|
| | | .. role:: E-Mail-Benutzer |
|---|
| | | |
|---|
| | | Funktion: |
|---|
| | | Die Rolle E-Mail-Postfach wird initial beim Anlegen eines :doc:`Web-Pakets</referenz/webpaket/index>` eingerichtet und verwaltet seine E-Mails. |
|---|
| | | Der E-Mail-Benutzer ist ein Unix-Benutzer, der nur über ein Postfach verfügt. |
|---|
| | | In seinem Benutzerverzeichnis wird beim Anlegen automatisch das Verzeichnis :file:`Maildir` angelegt. |
|---|
| | | |
|---|
| | | Ausstattung: |
|---|
| | | * wird durch den :doc:`Paket-Admin<paket-admin>` angelegt, |
|---|
| | | * wird durch den :role:`Paket-Admin` angelegt, |
|---|
| | | * hat keine shell (das Programm ``passwd`` wird an Stelle einer shell gestartet). |
|---|
| | | |
|---|
| | | Rechte: |
|---|
| | |
|---|
| | | Rechte: |
|---|
| | | * Die jeweils zugewiesenen Rechte an einer oder mehreren :doc:`Datenbanken<../datenbanken/index>`. |
|---|
| | | |
|---|
| | | .. role:: Domain-Verwalter |
|---|
| | | .. role:: Reseller-ID |
|---|
| | | |
|---|
| | | Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem. |
|---|
| | | Dies ist ein Benutzerkonto für die Verwaltung von Domains (Registrierung, Transfer, DNS-Server etc.) im Domainbestellsystem. |
|---|
| | | Der Account: |
|---|
| | | |
|---|
| | | * ist initial vorhanden, |
|---|
| | | * hat den Namen hs-xyz, |
|---|
| | | * hat das Namensschema hs-xyz, |
|---|
| | | * hat ein eigenes Passwort. |
|---|
| | | |
|---|
| | | Rechte |
|---|
| | | ------ |
|---|
| | | |
|---|
| | | Rechte: |
|---|
| | | * Domains bestellen, kündigen, transferieren |
|---|
| | | * Inhaberdaten ändern |
|---|
| | | * Kontaktdaten ändern |
|---|
| | | * Handle-Verwaltung |
|---|
| | | |
|---|
| | | Weitere Informationen zum Domain-Bestell-System unter :doc:`Domainverwaltung<../domain/domainverwaltung>`. |
|---|
| | | |
|---|
| | | .. _kap-benutzerrechte: |
|---|
| | | |
|---|
| | | ============== |
|---|
| | | Benutzerrechte |
|---|
| | | ============== |
|---|
| | | |
|---|
| | | HSAdmin bietet uns die Möglichkeit, dem Benutzer eine Login-Shell für interaktive Sitzungen zuzuordnen oder genau dies zu verhindern. |
|---|
| | | Wir haben die Wahl zwischen den Kommandointerpretern :program:`bash`, :program:`csh`, :program:`ksh`, :program:`tcsh` oder :program:`zsh` und den Programmen :program:`false`, :program:`passwd` und :program:`scponly`. |
|---|
| | | Abb. :numref:`fig-hsadmin-shell` zeigt das entsprechende Menü. |
|---|
| | | |
|---|
| | | .. _fig-hsadmin-shell: |
|---|
| | | |
|---|
| | | .. figure:: ../../images/hsadmin-benutzershells.* |
|---|
| | | :width: 100% |
|---|
| | | |
|---|
| | | Das Auswahlmenü mit den Shell- und Kommando-Interpretern. |
|---|
| | | |
|---|
| | | |
|---|
| | | /bin/false |
|---|
| | | Benutzer, denen das Programm :program:`/bin/false` als Shell zugeordnet wird, können sich nicht in ihrem Account einloggen und eine interaktive Sitzung starten. |
|---|
| | | Diese Einstellung eignet sich für Systembenutzer, die Programme im Webpaket ausführen. sich aber nicht von außen einloggen sollen. |
|---|
| | | Dies können auch Mail-Benutzer sein. |
|---|
| | | /bin/bash |
|---|
| | | Die `Bourne-Again-Shell <https://manpages.debian.org/buster/bash/bash.1.en.html>`_. |
|---|
| | | Auf vielen Linuxsystemen ist dies die Standard-Shell. |
|---|
| | | /bin/csh |
|---|
| | | Die `C-Shell <https://manpages.debian.org/buster/csh/csh.1.en.html>`_. |
|---|
| | | /bin/ksh |
|---|
| | | Die `Korn-Shell <https://manpages.debian.org/buster/ksh/ksh.1.en.html>`_. |
|---|
| | | /bin/tcsh |
|---|
| | | Eine `C-Shell <https://manpages.debian.org/buster/tcsh/tcsh.1.en.html>`_ mit Erweiterungen. |
|---|
| | | /bin/zsh |
|---|
| | | Die `Z-Shell <https://manpages.debian.org/buster/zsh-common/zsh.1.en.html>`_. |
|---|
| | | /usr/bin/passwd |
|---|
| | | Benutzer, denen das Programm :program:`/usr/bin/passwd` zugeordnet wird, können beim Versuch, sich mit :program:`ssh` einzuloggen, ihr Passwort ändern. |
|---|
| | | Eine interaktive Sitzung können sie jedoch nicht starten. |
|---|
| | | Dies ist sinnvoll, um Benutzern ein größeres Maß an Vertraulichkeit ihrer Kommunikation zu ermöglichen. |
|---|
| | | Der Paket-Admin setzt für den E-Mail-Benutzer zwar ein initiales Passwort, der Benutzer kann dies aber sogleich ändern, sodass der Paket-Admin den E-Mail-Verkehr des Benutzers nicht unbemerkt mitlesen kann. |
|---|
| | | /usr/bin/scponly |
|---|
| | | Diese Zuordnung ermöglicht dem Benutzer den Gebrauch der Programme :program:`scp` und :program:`sftp`. |
|---|
| | | Eine interaktive Sitzung ist nicht möglich. |
|---|
| | | |
|---|
