1

ADMINISTRATION LINUX

LA GESTION DES UTILISATEURS

2

Outil graphique sous KDE :

• Accès par le menu Configuration puis :

3

Outil graphique de gestion des comptes

• Outil graphique de gestion des comptes sous la Red Hat : /usr/bin/redhat-config-users

4

Le Gestionnaire d'utilisateurs

5

Le Gestionnaire d'utilisateurs

6

Le Gestionnaire d'utilisateurs• Pour afficher ou masquer les utilisateurs

prédéfinis (système)• Editer/Préférences :

7

Ajouter un nouvel utilisateur :

8

Créer un nouveau groupe :

9

Useradd : les options

10

Useradd : usage des options

11

Useradd : usage des options

12

Useradd : usage des options

13

userdel

14

Modifier un compte : usermod

15

Créer un groupe : groupadd

16

groupdel

17

groupmod

18

Autres Commandes• useradd -D : définit les paramètres à

utiliser par défaut lors de la création d'un usager

• passwd -l toto : vérouille le compte toto

19

Les commandes : id et su

20

LA GESTION DES UTILISATEURS

• les fichiers de configuration :– /etc/passwd– /etc/group– /etc/shadow

• les commandes• L'outil graphique de gestion des

comptes• les modèles de fichiers de

configuration

21

Les Fichiers de configuration

• s'identifier ≠ s'authentifier• répertoire de travail ≠ répertoire de

login• /etc/passwd contient les paramètres

fondamentaux d'un utilisateur Linux• dans /etc/group apparaissent les

groupes supplémentaires

22

Les 4 principaux fichiers des comptes:

• passwd : comptes utilisateurs• shadow : mots de passe et sécurité• group : les groupes utilisateurs

23

/etc/passwd

• Le Fichier /etc/passwd définie tous les utilisateurs qui existent sur le système Linux.

• Ce fichier texte peut être visualisé par tous les utilisateurs grâce à la commande cat /etc/passwd (ou une autre commande de visualisation)

• Chaque ligne de ce fichier décrit le compte d’un utilisateur

• Les lignes sont composés de champs séparés par le symbole :

24

/etc/passwd• Signification des champs :

Shell par défaut de l’utilisateur ; celui-ci sera lancé automatiquement suite au login

Répertoire home ou répertoire de login de l’utilisateur

Descrip-tion du compte

Group Identifier

Du groupe particu-lier associé

User Identifier

Ex mot de passe ; aujour-d’hui déporté vers /etc/shadow

Compte utilisa-teur (login)

/bin/bash/home/albanAlban Marcello

1000501xAlban

SeptièmeSixièmeCinquièmeQuatrième

TroisièmeSecond1er champ

• De nombreux comptes systèmes sont utilisés par des composants Linux afin d’améliorer la sécurité.

25

Description du fichier : /etc/passwd

• Nom de connexion (ex : céline)

• Mot de passe : x (crypté dans /etc/shadow)

• UID : User ID = identifie de manière unique chaque utilisateur,

• GID : Group ID : groupe de connexion ≠ groupe supplémentaire

• Commentaire de l'administrateur

• Répertoire de connexion (/home) : contient les fichiers de configuration de chaque utilisateur

• Commande de connexion : éxécutée lors de chaque connexion de l'utilisateur, en général shell ou script

26

Description du fichier : /etc/passwd

• UID : User ID = identifie de manière unique chaque utilisateur, on le retrouve dans les descripteurs des fichiers pour la gestion des droits

• exception : UID 0 peut ne pas être unique : administrateur ou root

• UID en « workgroup » ==> utiliser le même UID pour chacun des mêmes comptes créés sur différents hôtes

27

/etc/passwd

• Typiquement ces comptes ont un user Id inférieur à 100, et un shell par défaut valant /bin/false.

• Ce dernier programme ne fait rien d’autre que de se terminer, ce qui empêche quiconque d’utiliser ce compte pour se connecter

• La commande id permet de connaître le User Identifer d'un utilisateur

28

valider un mot de passe

• la commande passwd permet de valider ou modifier un mot de passe

• Deux syntaxes :

– passwd : changer son propre mot de passe

– passwd alban : réservé à l’administrateur pour modifier le mot de passe d’un utilisateur

29

La commande passwd

30

Options de passwd

• passwd –l : (lock) vérouille le compte de l’utilisateur, ex: passwd –l annie

• passwd -u : (unlock) : dévérouille le compte

• passwd -d : (delete) : supprime le mot de passe

31

/etc/shadow

• ce fichier généralement associé à /etc/passwd contient des informations d’encryptage des mots de passe pour chaque utilisateur.

• Contrairement à /etc/passwd, seul l’administrateur a le droit de lire ce fichier

• La structure de ce fichier texte est identique à celle de /etc/passwd : chaque ligne est relative au mot de passe d’un utilisateur ;

• Les ligne sont composés de champs séparés par le symbole :

32

/etc/shadow• Signification des champs :

Usage futur9

Nombre de jours depuis lequel ce compte est invalidé (-1 = toujours actif)

8

Nombre de jours après que le mot de passe ait expiré pour verrouiller ce compte (-1 = jamais verrouiller)

7

Nombre de jours avant l’expiration du mot de passe pour prévenir l’utilisateur (-1 = pas d’avertissement)

6

Nombre de jours avant que le système ne force l’utilisateur à changer son mot de passe ( - 1 = jamais)

5

Nombre de jours avant que le mot de passe puisse être changé (0 = n’importe quand)

4

Date à laquelle le mot de passe a été modifié la dernière fois (en jours depuis le 1/1/70)

3

Mot de passe encrypté : si ce champs est vide, pas de mot de passe nécessaire!

2

Compte utilisateurChamp

n°1

33

/etc/shadow• Contient entre autre le mot de passe crypté

• Les lignes de /etc/passwd et /etc/shadow correspondent une à une

• Exemple :

34

/etc/group

• Ce fichier décrit tous les groupes disponibles sous votre système Linux

• Sa structure en ligne et en champs ressemble à celle de /etc/passwd et /etc/shadow

– Le premier champ représente le nom du groupe– Le second est un mot de passe, peu utilisé : il

contient aujourd’hui presque toujours un x– Le troisième champ représente le Group

Identifier– Le dernier champ représente les utilisateurs

membres de ce groupe, séparés par une virgule

35

/etc/group

• Tous les utilisateurs membres du groupe ?

• Non car chaque utilisateur de /etc/passwd stipulant un Gid Principal dans son quatrième champs se retrouve automatiquement membre de ce groupe, sans apparaître dans la liste du 4ème champs de /etc/group

• La plupart des systèmes Linux, lors de la création d’un utilisateur, créé automatiquement un groupe de même nom et souvent de même Id, afin de permettre à chaque utilisateur de placer les comptes en qui ils ont confiance dans leur groupe

36

Description du fichier : /etc/group

• groupes supplémentaires ≠ groupe de connexion–groupe de connexion dans /etc/passwd–groupes supplémentaires dans /etc/group

• commande newgrp

37

Description du fichier : /etc/group

• fichier texte, 1 ligne = 1 groupe, séparateur :

• Nom du groupe :

• Mot de passe (inutilisé) :

• GID = Group Identifier:

• liste des utilisateurs autorisés à se connecter par la commande newgrp, séparés par ,

• Un utilisateur membre d'un groupe de connexion n'a pas besoin d'être spécifié dans ce fichier

38

outils de gestion des comptes

• Chage : permet de changer la politique de changement de mot de passe stockée dans /etc/shadow

• Groupadd ; groupdel et groupmod permettent d’ajouter, supprimer ou modifier des groupes dans /etc/group

• Useradd, userdel et usermod permettent d’ajouter, supprimer et gérer des comptes utilisateur dans /etc/passwd

Gestion des comptes

39

Attributs prédéfinis par défaut de useradd

• La commande useradd employée sans options utilise des attributs prédéfinis par défaut

• Pour les connaître :– useradd -D

40

Supprimer un compte utilisateur• Pour supprimer un compte utilisateur ET

son répertoire personnel :– userdel -r <nom d’utilisateur>

41

Les modèles de fichier de configuration

• /etc/skel contiend les fichiers ajoutés lors de la connexion d'un nouvel utilisateur

• .bash_profile : éxécuté automatiquement lors de la connexion; contient essentiellement la définition des variables d'environnement telles que le PATH

• .bashrc : configuration des alias et définition des fonctions; éxécute /etc/bashrc

42

Les modèles de fichier de configuration

• pour éxécuter un script : ./monscript• connexion

– .bash_profile• .bashrc

– ./etc/bashrc

• .bash_logout : éxécuté lors de.....?• nombreux autres fichiers contenant les

définitions des ressources utilisées par les applications graphiques (Clients X) : Gnome, KDE...

43

.bash_profile

• Le Shell permet de configurer en individualisant l’environnement de travail de chaque utilisateur

• Cette section va vous présenter les différents fichiers dont le rôle est d’effectuer automatiquement cette configuration à chaque fois que l’utilisateur se connecte

• Inutile donc de retaper à chaque fois les commandes nécessaires à la reconfiguration de votre environnement de travail

44

.bash_profile

• On parle de « startup files »

• Le premier de ces fichiers est le .bash_profile

• C’est un fichier texte qui doit se trouver dans le répertoire home de chaque utilisateur. Il est donc individuel.

• Exemple : éditez ou créez le fichier .bash_profile dans votre répertoire de login et insérez en première ligne la commande fortune. Déconnectez-vous puis reconnectez-vous. Que se passe-t-il ?

45

/etc/profile

• Comme pour un script (ou un batch sous DOS), vous pouvez ajouter des commandes dans ce fichier, et ces commandes seront automatiquement exécutées par le bash lors du login de l’utilisateur, comme si l’utilisateur les avait saisies lui-même au clavier

• Le fichier /etc/profile est un fichier système, géré par l’administrateur, qui est exécuté lors du login de n’importe quel utilisateur.

46

/etc/profile

• Outre la possibilité de factoriser dans un seul fichier l’ensemble des commandes qui doivent être exécutées lors du login de tous les utilisateurs, c’est un outil donné à l’administrateur pour contrôler les connections au système

• /etc/profile est exécuté avant .bash_profile

47

Le script /etc/profile

48

.bash_profile et .bashrc

49

le shell de login

• le bash se comporte légèrement différemment lorsqu’il est lancé lors d’un login.

• Il interprète alors en premier le fichier de configuration Système /etc/profile puis le fichier de configuration personnel .bash_profile

50

le shell de login• Il existe deux façons pour un shell bash d’être

exécuté en tant que Shell de Login• Le premier est lorsque vous vous connecter :

le bash est alors lancé et porte le nom de –bash– Ce symbole – (dash) est utilisé pour

indiquer qu’il s’agit du shell de login– Exercice : identifier votre shell de login à

l’aide de la commande ps –aef• La seconde façon pour un shell bash d’être

considéré comme Shell de Login est de lancer la commande bash à l’aide de l’option –login– Ou su -

51

le shell de login• Une fois qu’un utilisateur s’est connecté

dans un Login Shell, il lui est possible de lancer d’autres Shells interactifs

• Un Shell qui n’est pas Login Shell n’exécutera ni /etc/profile ni .bash_profile.

• A la place, le fichier ~/.bashrc sera lancé au démarrage du shell interactif

52

le shell de login

IgnoréNonNon

IgnoréExécutéOuiNon

ExécutéIgnoréNonOui

IgnoréExécutéOuiOui

.bashrcFichiers profileShell de LoginShell

interactif ?

• Attention ! Très souvent les deux startup files .bashrc et .bash_profile se lancent mutuellement...

53

Shell Interactif

• Dans certains cas, le fichier .bashrc peut être exécuté même si votre shell n’est pas réellement interactif

• La variable Système PS1 sert à tester si votre shell courant est interactif ou non

• Il est donc sain avant d’exécuter toutes commandes provoquant un affichage, de tester si le Shell en cours est interactif :if [ -n PS1 ] ; thenfortunefi

54

/etc/profile & /etc/skel

• L’administrateur a la responsabilité du bon fonctionnement de /etc/profile

• Lorsque l’on utilise la commande useradd pour créer un nouveau compte utilisateur, celle-ci recopie le contenu du répertoire /etc/skel vers le répertoire de login du nouvel utilisateur

• Ceci permet aux nouveaux utilisateurs de disposer d’une première configuration par défaut (en particulier les fichiers .bashrc et .bash_profile) qu’ils pourront bien entendu modifier par la suite

55

Editer les fichiers de configuration de compte

• Les commandes vipw, vipw –s et vigr permettent d’éditer respectivement /etc/passwd et /etc/group– Intérêt : garder une cohérence

entre les deux fichiers

56

Création d'un compte sous Webmin