Chapitre 3. Gérer les utilisateurs et les groupes
Le contrôle des utilisateurs et des groupes est un élément essentiel de l'administration des systèmes Red Hat Enterprise Linux. Ce chapitre explique comment ajouter, gérer, et supprimer des utilisateurs et des groupes dans l'interface utilisateur graphique et en ligne de commande, des sujets avancés sont également traités, comme la création de répertoires de groupes.
3.1. Introduction aux utilisateurs et aux groupes
Tandis que les utilisateurs peuvent être des personnes (des comptes liés à des utilisateurs physiques), ou des comptes existants pour des applications spécifiques, les groupes sont des expressions logiques qui permettent une certaine organisation en regroupant des utilisateurs œuvrant dans un but commun. Les utilisateurs appartenant à un groupe donné partagent les mêmes permissions, leur permettant de lire, d'écrire, ou d'exécuter les fichiers appartenant à ce groupe.
Chaque utilisateur peut être associé avec un numéro d'identification numérique unique, également appelé un ID d'utilisateur (« user ID », ou UID). Similairement, chaque groupe est associé avec un ID de groupe (« group ID », ou GID). L'utilisateur qui crée un fichier devient le propriétaire et le groupe propriétaire du fichier. Ce fichier reçoit également des permissions séparées de lecture, d'écriture et d'exécution pour le propriétaire, le groupe ou tout autre utilisateur. Le propriétaire du fichier peut seulement être modifié par l'utilisateur
root
, et les permissions d'accès quant à elles peuvent être modifiées aussi bien par l'utilisateur root
, que par le propriétaire du fichier.
En outre, Red Hat Enterprise Linux prend en charge les listes de contrôle d'accès (ACL) pour les fichiers et répertoires qui permettent d'octroyer des permissions à des utilisateurs spécifiques en dehors du propriétaire. Pour obtenir davantage d’informations sur cette fonctionnalité, veuillez consulter Chapitre 4, Listes des contrôle d'accès (ACL).
ID d'utilisateurs et de groupes réservés
Red Hat Enterprise Linux réserve les ID de groupe de d'utilisateur inférieurs à 100 pour les groupes et les utilisateurs du système. User Manager n'affiche pas les utilisateurs du système. Les ID de groupe et d'utilisateurs sont documentés dans le package setup. Pour afficher la documentation, exécuter la commande :
cat /usr/share/doc/setup*/uidgid
La pratique courante est d'assigner des ID non réservés à partir de 5000, car cette gamme pourrait augmenter dans le futur. Pour que les ID assignés aux nouveaux utilisateurs par défaut puissent commencer à 5000, modifier les directives UID_MIN
et GID_MIN
dans le fichier /etc/login.defs
:
[file contents truncated] UID_MIN 5000[file contents truncated] GID_MIN 5000[file contents truncated]
Note
Pour les utilisateurs qui auraient été créés avant le changement des directives
UID_MIN
et GID_MIN
, les UID démarreront toujours par la valeur par défaut de 1000.
Même avec le nouvel utilisateur et les ID de groupe commençant par 5000, il est conseillé de ne pas augmenter les ID réservés par le système et supérieurs à 1000 pour éviter un conflit de systèmes retenant une limite de 1000.
3.1.1. Groupes privés d'utilisateurs
Red Hat Enterprise Linux utilise un schéma de groupe privé d'utilisateurs (ou UPG), qui rend la gestion des groupes UNIX plus facile. Un groupe privé d'utilisateurs est créé lorsqu'un nouvel utilisateur est ajouté au système. Il possède le même nom qu l'utilisateur pour lequel il a été créé et cet utilisateur est le seul membre du groupe privé d'utilisateurs.
Grâce à l'utilisation des groupes privés d'utilisateurs, il est possible de déterminer en toute sécurité des permissions par défaut pour un nouveau fichier ou répertoire afin que l'utilisateur et le groupe de cet utilisateur puissent modifier le fichier ou répertoire.
Le paramètre qui détermine quelles permissions sont appliquées au nouveau fichier ou répertoire créé s'appelle un umask et est configuré dans le fichier
/etc/bashrc
. Habituellement sur les système basés UNIX, l'umask
a pour valeur 022
, ce qui permet uniquement à l'utilisateur ayant créé le fichier ou le répertoire d'effectuer des modifications. Sous ce schéma, tous les autres utilisateurs, y compris les membres du groupe du créateur, ne sont pas autorisés à effectuer des modifications. Cependant, sous le schéma UPG, cette « protection de groupe » n'est pas nécessaire puisque chaque utilisateur possède son propre groupe privé.
Une liste de tous les groupes est stockée dans le fichier de configuration
/etc/group
.
3.1.2. Mots de passe cachés (« Shadow Passwords »)
Dans les environnements avec de multiples utilisateurs, il est très important d'utiliser des « mots de passe cachés » fournis par le paquet shadow-utils afin d'améliorer la sécurité des fichiers d'authentification du système. Pour cette raison, le programme d'installation active les mots de passe cachés par défaut.
Ci-dessous figure une liste des avantages présentés par les mots de passe cachés comparé à la manière traditionnelle de stockage de mots de passe sur les systèmes basés UNIX
- Les mots de passe cachés améliorent la sécurité du système en déplaçant les hachages de mots de passe chiffrés depuis le fichier lisible
/etc/passwd
sur le fichier/etc/shadow
, qui est uniquement lisible par l'utilisateurroot
. - Les mots de passe cachés stockent des informations sur l'ancienneté du mot de passe.
- Les mots de passe cachés permettent d'appliquer les politiques de sécurité définies dans le fichier
/etc/login.defs
.
La plupart des utilitaires fournis par le paquet shadow-utils fonctionnent correctement, que les mots de passe cachés soient activés ou non. Cependant, comme les informations sur l'ancienneté des mots de passe sont exclusivement stockées dans le fichier
/etc/shadow
, certains utilitaires et certaines commandes ne fonctionneront pas si les mots de passe cachés ne sont pas activés :
- Utilitaire
chage
pour définir les paramètres d'ancienneté de mot de passe. Pour obtenir des détails, veuillez consulter la section Sécurité du mot de passe dans le Guide de sécurité Red Hat Enterprise Linux 7. - Utilitaire
gpasswd
pour administrer le fichier/etc/group
. - Commande
usermod
avec l'option-e, --expiredate
ou-f, --inactive
. - La commande
useradd
avec l'option-e, --expiredate
ou-f, --inactive
.