Grupo de usuariosDe Wikipedia, la enciclopedia libre

Saltar a: navegación, búsqueda

Un grupo de usuarios es una política utilizada generalmente por un sistema operativo para referirse a más de 1 usuario en su configuración y privilegios.

Índice [ocultar]

1 Facilidad 2 Privilegios

3 Clasificación de usuarios

4 Sudo

5 Véase también

6 Enlaces externos

Facilidad[editar · editar código]

Trabajar con un grupo de usuarios que por separado puede resultar algo más sencillo, debido a que en vez de trabajar con una variable, se hace con un vector pudiendo referirse a un conjunto o a uno en exclusiva, facilitando la configuración de los permisos de cada usuario.

Privilegios[editar · editar código]

En un grupo de usuarios existen privilegios globales e individuales, primero se consideran los globales y luego se consideran los individuales, agregándole o disminuyándole privilegios basándose en los globales.

Ej:

Grupo (UsuarioA, UsuarioB)Grupo PUEDE verUsuarioA PUEDE editar

En este caso el UsuarioA puede "ver" (gracias a los privilegios globales) y puede "editar" (gracias a los privilegios individuales) y el UsuarioB solo puede "ver".

Clasificación de usuarios[editar · editar código] Invitados: Son los usuarios con menos permisos en el sistema o red, solo podrán leer un

número muy reducido de archivos o hasta ni siquiera acceder a ningún tipo de información

Usuarios: Son los usuarios normales del sistema, con pocos permisos. Tienen permisos para conectarse al sistema interactivamente y a través de la red, pero no pueden modificar ningún tipo de información.

Usuarios interactivos: Este grupo representa a todos aquellos usuarios que tienen el derecho de iniciar una sesión local en el sistema o red.

Usuarios autentificados: Agrupa a todos los usuarios que poseen una cuenta propia para conectarse al sistema, solo pueden ver algunos archivos y carpetas del sistema y leer, modificar y eliminar los archivos pertenecientes a su cuenta.

Administradores: Son los usuarios con más permisos sobre el sistema o red, pueden ver, modificar y eliminar cualquier tipo de información.

Sudo[editar · editar código]

El sudo es una herramienta de los sistemas operativos Unix cuya función es ejecutar un comando con privilegios altos desde un usuario o grupo de usuarios con privilegios bajos.

Esto es muy útil, sobre todo en seguridad informática, ya que se es posible acceder trivialmente al usuario root de forma segura.

Un ejemplo de ejecución de un archivo protegido desde un usuario perteneciente a un grupo con privilegios bajos:

$sudo exec /root/ejecutable

Tras esto, pide la contraseña del usuario root, una vez ingresada correctamente, ejecuta una línea como si se estuviere autentificados como root.

http://es.wikipedia.org/wiki/Grupo_de_usuarios

Grupos de Usuarios

Un grupo es básicamente un conjunto de usuarios, que generalmente se crea cuando se desea que estos posean permisos comunes, para un conjunto de ficheros. En esta sección se efectúa la gestión de grupos de usuarios en IPBrick.

Para crear un nuevo grupo (Figura 3.6): o Pulsar en Insertar;

o Escoger el nombre del grupo.

Para añadir o borrar usuarios de un grupo:

o Pulsar en el nombre del grupo (Figura 3.7);

o En la página generada (Figura 3.8) escoger los usuarios que deben ser añadidos o borrados del grupo en cuestión.

Figura 3.6: Grupos de Usuarios - Insertar

Figura 3.7: Grupos de Usuarios - Listado

Figura 3.8: Grupos de Usuarios - Definición de Usuarios

Existen dos grupos predefinidos que no pueden ser borrados o modificados:

Administradores General

Los usuarios pertenecientes al grupo Administradores, tienen permisos de administración del dominio que IPBrick sirve. Pueden ser añadidos o borrados los usuarios de este grupo, excepto el usuario predefinido Administrator. El grupo General es el grupo común a todos los usuarios creados en IPBrick.

¡Atención!:

Al introducir grupos nuevos, el nombre del grupo puede ser en letra mayúsculo y/o minúscula;

El nombre del grupo debe estar compuesto por caracteres alfanuméricos no acentuados, se permite el uso de espacios, el nombre no debe superar los 32 caracteres;

Una vez creado un usuario, no puede haber ningún grupo con su nombre, incluidos los dominios.

http://www.ipbrick.com/es/documentacao/manual_referencia_ESV4.3/node8.html

Usuarios y Grupos

En una red es imprescindible conseguir que los usuarios tengan todo lo que necesiten y evitar los problemas que impidan su trabajo. Acceso a archivos, carpetas, aplicaciones, impresoras, internet, etc... requeridos para su trabajo. Así que manos a la obra.

Grupos

Por definición, los grupos en Windows Server son objetos del servicio de Active Directory o, del equipo local, que a su vez pueden contener usuarios, contactos, equipos, y otros grupos. El objetivo es una administración más simple, para que el administrador pueda asignar derechos y permisos por grupo y no a usuarios individuales. En Windows Server nos encontramos con los grupos de seguridad y los grupos de distribución, aunque casi todos los grupos utilizados son de seguridad ya que son a los que se pueden asignar permisos. Cada grupo de seguridad tiene asignado un ámbito de grupo, que definirá como se asignan los permisos a sus miembros.

Los grupos de distribución no tienen seguridad activada y sólo se pueden usar con aplicaciones de correo electrónico para enviar correos a conjuntos de usuarios.

ámbitos de Grupos

Los ámbitos: Cuando creamos un grupo se le asigna un ámbito de grupo, encontrándonos con grupos globales, grupos locales de dominio y grupos universales.

ámbito global Es un grupo global en cuanto los permisos se conceden sobre los recursos de cualquier dominio. Los usuarios de pertenencia provienen del dominio en el que se crea el grupo por lo que en este sentido no parece global. Son adecuados para cuentas de usuario y grupo y a su vez pueden pertenecer a grupos universales o locales de dominio en cualquier dominio y como miembros pueden tener a otros grupos globales en el mismo dominio y cuentas individuales del mismo dominio. ámbito local de dominio Es un grupo contrario al anterior, pues sus miembros pueden provenir de cualquier dominio y sus permisos sólo pueden definirse para recursos del dominio en el que se crea el grupo. Como miembros pueden tener a otros grupos locales de dominio en el mismo dominio, globales de cualquier dominio, universales de cualquier dominio y cuentas individuales de cualquier dominio. ámbito universal Un grupo universal puede tener miembros pertenecientes de cualquier dominio y se le pueden asignar permisos a recursos de cualquier dominio. Sólo está disponible en dominios en modo nativo. Sus miembros pueden ser otros grupos universales, globales y cuentas individuales. Deben utilizarse comedidamente pues afectan al rendimiento de la red.

Para los anidamientos entre grupos hemos de tener en cuenta que sus reglas se aplican completamente en modo nativo y no en modo mixto.

Es muy importante una correcta planificación pues afectan al rendimiento de la red, veámoslo:

Cuando un usuario inicia sesión el DC determina los miembros del grupo del usuario y le asigna un testigo de seguridad, que incluye el SID de todos los grupos a los que pertenezca y el ID del propio usuario. Cuantos más grupos pertenezca el usuario más se tarda en la creación del testigo y por ende en iniciar sesión. Por otra parte el testigo será enviado a cada equipo al que accede el usuario, donde se comparará todos los SID con los permisos de los recursos compartidos. Un gran número de usuarios añadidos a un gran número de recursos consume ancho de banda y tiempo de proceso. En cuanto a los grupos universales tienen un impacto por sí mismos en el rendimiento de la red, pues todos los grupos con sus miembros se muestran en el catalogo global, cualquier cambio en un grupo con ámbito universal será transmitido a todos los servidores de catálogo global del árbol de dominios, aumentando el tráfico de réplica. Los grupos globales o locales también están en el catálogo global pero no así sus miembros individuales, por lo que el consumo es menor.

Un buen artículo sobre grupos: Grupos

Los grupos, al igual que las cuentas de usuario (como veremos) obtienen un identificador exclusivo para monitorizarlos (SID) en el momento de su creación.

Cuentas de usuario

Definamos dos tipos de cuentas, aquéllas que se circunscriben al Active Directory y que llamaremos cuentas de usuario de dominio y las que se crean para tener acceso al equipo local que llamaremos cuentas de usuario locales.

Aunque Windows Server muestra nombres de usuario para indicar privilegios y permisos, los identificadores clave de las cuentas son los SID(Security Identifiers), exclusivos y generados al crear las cuentas, lo forman un prefijo del identificador de seguridad del dominio y un identificador relativo exclusivo asignado por el maestro de identificadores relativos. Estos identificadores son utilizados para monitorizar las cuentas, aparte del nombre de usuario. De entre las funciones del SID las dos más importantes son permitir cambiar fácilmente el nombre de usuario y eliminar cuentas sin preocuparse de que alguien pueda obtener acceso a los recursos con sólo crear una cuenta. Ya que cuando se cambia el nombre a un usuario se solicita un SID para un nombre nuevo, al eliminar una cuenta se indica que el SID ya no será válido, así que cuando creamos una nueva aún con el mismo nombre, el SID será diferente.

Creación de usuarios y grupos

Las herramientas presentes en Windows Server para la creación de usuarios y grupos son: Usuarios y equipos de Active Directory y Usuarios y grupos locales; con la primera administraremos las cuentas de un dominio AD y con la segunda administraremos las cuentas de un equipo local.

En el caso de ser un DC la segunda quedará anulada y todas las cuentas locales creadas anteriormente a la promoción se ajustarán al AD.

Crearemos una cuenta de usuario de dominio desde la herramienta de Usuarios y equipos de AD, pudiendo ser una cuenta nueva o una cuenta nueva que herede las opciones de una existente. El asistente nos solicitará varios datos para la cuenta, entre ellos el nombre de inicio de sesión, la contraseña (que deberá ajustarse a las directivas de contraseñas) y algunos valores sobre las mismas que elegiremos marcando las casillas correspondientes. Crearemos una cuenta de usuario local desde la herramienta Administración de equipos del conjunto de Herramientas administrativas del panel de control. En este caso cambiará la forma del nombre de inicio de sesión, si en el anterior será del estilo nombre@dominio, aquí sólo aparecerá nombre.

Para la creación de grupos se utilizan las mismas herramientas, aunque la segunda sólo nos servirá para crear grupos locales y añadir miembros.

http://www.juansa.net/Admin2003/usergroup.htm

Contenido

 [ocultar]  1 Gestión de usuarios y grupos

o 1.1 Añadir usuarios y grupos

o 1.2 Eliminar usuarios y grupos

o 1.3 Modificar usuarios y grupos

o 1.4 Ficheros relacionados con la gestión de usuarios y grupos

o 1.5 Algunos grupos especiales

o 1.6 Límites a los usuarios

1.6.1 Ejemplos de límites horarios

o 1.7 Límites de quotas

1.7.1 Administrando el sistema de quotas

2 Fuente

3 Ver también

Gestión de usuarios y grupos

Aquí se presentan los aspectos básicos para la gestión de usuarios y grupos de usuarios en el sistema Debian/Ubuntu a través de la línea de comandos, para consultar la gestión de usuarios de manera gráfica, consulta Usuarios y grupos en Ubuntu.

Añadir usuarios y grupos

Para añadir usuarios y grupos al sistema se emplean los comandos adduser y addgroup. La operación de estos comandos se configura en el fichero /etc/adduser.conf. Veamos algunos ejemplos:

adduser pepe

añade el usuario pepe al sistema. El sistema pedirá alguna información adicional sobre el usuario y un password o clave. Por defecto, se crea un grupo con el nombre del usuario y éste será el grupo por defecto. Este comportamiento se configura en /etc/adduser.conf.

adduser --ingroup users pepe

añade el usuario pepe al sistema estableciendo users como su grupo principal:

adduser pepe cdrom

añade el usuario pepe (previamente creado) al grupo cdrom. Cuando el número de usuarios es numeroso y heterogéneo, puede ser necesario añadir nuevos grupos. Esto se hace con el comando addgroup. Por ejemplo:

addgroup alumnos

añade al sistema un grupo llamado alumnos. Alternativamente a los comandos anteriores, se pueden añadir usuarios y grupos empleando useradd y groupadd. Estos comandos leen información de configuración del fichero /etc/login.defs.

Eliminar usuarios y grupos

Para eliminar usuarios y grupos se emplean userdel y groupdel respectivamente. Por ejemplo: # userdel pepe elimina el usuario pepe. Si además se indica la opción -r, también se borrará el directorio personal del usuario con todo su contenido.

groupdel alumnos

elimina el grupo alumnos.

Modificar usuarios y grupos

Para modificar las características de los usuarios y grupos se emplean los comandos usermod y groupmod. Algunos ejemplos:

usermod -d /home/profes/pepe -m

cambia el directorio de inicio del usuario pepe para que sea /home/profes/pepe. La opción -m hace que mueva el contenido del antiguo directorio al nuevo emplazamiento.

usermod -g profes pepe

cambia el grupo inicial del usuario pepe para que sea profes.

usermod -l joseg pepe

cambia el nombre del usuario pepe. El nuevo nombre es joseg.

groupmod -n profesores profes

cambia el nombre del grupo profes a profesores.

Ficheros relacionados con la gestión de usuarios y grupos

Algunos ficheros relacionados con las cuentas de usuario son:

/etc/passwd: contiene información sobre cada usuario: ID, grupo principal, descripción, directorio de inicio, shell, etc. También contiene el password encriptado, salvo que se usen shadow passwords.

/etc/shadow: contiene los passwords encriptados de los usuarios cuando se emplean shadow passwords.

/etc/group: contiene los miembros de cada grupo, excepto para el grupo principal, que aparece en /etc/passwd.

/etc/skel: directorio que contiene el contenido del directorio de los nuevos usuarios.

Algunos grupos especiales

En el sistema existen algunos grupos especiales que sirven para controlar el acceso de los usuarios a distintos dispositivos. El control se consigue mediante los permisos adecuados a ficheros de dispositivo situados en /dev. Algunos de estos grupos son:

cdrom: dispositivos de CD–ROM. El dispositivo concreto afectado depende de donde estén conectadas las unidades de CD–ROM. Por ejemplo, /dev/hdc.

floppy: unidades de diskette, por ejemplo, /dev/fd0

dialout: puertos serie. Afecta, por ejemplo, a los modems externos conectados al sistema. Por ejemplo, /dev/ttyS1

audio: controla el acceso a dispositivos relacionados con la tarjeta de sonido. Por ejemplo, /dev/dsp, /dev/mixer y /dev/sndstat.

Para dar acceso a un usuario a uno de estos servicios, basta con añadirlo al grupo adecuado. Por ejemplo, para dar acceso al usuario pepe a la disquetera haríamos:

adduser pepe floppy

Alternativamente, para sistemas pequeños suele ser mejor “desproteger” los dispositivos adecuados para que todos los usuarios puedan usarlos, evitando tener que recordar añadir usuarios a los grupos adecuados. Por ejemplo, para dar acceso de lectura al CD–ROM (suponiendo que esté en /dev/hdc) y de lectura/escritura a la disquetera a todos los usuarios, haríamos:

chmod a+r /dev/hdcchmod a+rw /dev/fd0*

Límites a los usuarios

En los sitemas UNIX/LINUX existe la posibilidad de limitar recursos a los usuarios o grupos, por ejemplo, el máximo número de logins que puede realizar simultáneamente un usuario, el máximo tiempo de CPU, el máximo número de procesos etc. Estos límites se

controlan en LINUX a través del fichero /etc/security/limits.conf. También es posible limitar los tiempos de acceso a los usuarios. Una de las formas de hacerlo es con el servicio timeoutd. Este servicio se instala a través de la distribución y, una vez instalado aparece un fichero de configuración /etc/timeouts. En este fichero de configuración las líneas en blanco o que comienzan por # no son interpretadas. El resto de las líneas debe tener alguna de las dos siguientes sintaxis:

TIMES:TTYS:USERS:GROUPS:MAXIDLE:MAXSESS:MAXDAY:WARN

o bien

TIMES:TTYS:USERS:GROUPS:LOGINSTATUS

En la página de manual timeouts(8) se explica el significado de cada uno de los campos en estas líneas.

Ejemplos de límites horarios

El usuario curso no puede hacer login durante el fin de semana:

SaSu:*:curso:*:NOLOGIN

Sólo el usuario root puede acceder desde las consolas tty1–tty6:

Al:tty1,tty2,tty3,tty4,tty5,tty6:root:*:LOGIN Al:tty1,tty2,tty3,tty4,tty5,tty6:*:*:NOLOGIN

Sólo el usuario root puede acceder entre las 15:00 y las 16:00h de cada día:

Al1500-1600:*:root:*:LOGIN Al1500-1600:*:*:*:NOLOGIN

Una vez que se ha preparado el fichero /etc/timeouts es necesario reiniciar el servidor timeoutd:

/etc/init.d/timeoutd restartStopped /usr/sbin/timeoutd (pid 2412).Starting /usr/sbin/timeoutd...

Es importante destacar que este proceso no actúa durante el proceso de login lo que da lugar a que, aunque un usuario tenga prohibido el acceso a una máquina en un momento determinado, inicialmente puede entrar y sólo, una vez que se ejecute el proceso timeoutd, será expulsado del sistema. Para conseguir que durante el proceso de login se revisen las condiciones de timeouts se debe incluir las siguientes líneas en el fichero /etc/profile:

# Comprueba restricciones de timeoutd (ver timeoutd, timeouts(5)) /usr/sbin/timeoutd ‘whoami‘ ‘basename \‘tty\‘‘ || exit

Con esta línea incluso aunque el servicio timeoutd este parado si en el fichero /etc/timeouts se prohíbe el acceso a un usuario éste no podrá entrar en el sistema.

Límites de quotas

El sistema de quotas provee un mecanismo de control y uso del espacio de disco duro disponible en un sistema. Se pueden establecer límites en la cantidad de espacio y el número de ficheros de que puede disponer un usuario o grupo. En las quotas hay cuatro números para cada límite: la cantidad actual ocupada; el límite soft (quota propiamente dicha); el límite hard (espacio sobre quota), y el tiempo que resta antes de eliminar el exceso entre soft y hard. Mientras que el límite soft puede ser superado temporalmente, el límite hard nunca puede rebasarse.

Administrando el sistema de quotas

Para implementar el sistema de quotas es necesario instalar algún paquete de control de dicho sistema. En Ubuntu hay un paquete denominado quota que instala todo lo necesario para implementar todo el sistema. Una vez instalado tenemos que realizar una serie de pasos para activar el mecanismo de quotas. Estos pasos son:

Configuración de kernel

Antes de instalar el sistema de quotas debe disponerse de un kernel con la opción de quota–system habilitada. Esto se consigue en el proceso de compilación de un nuevo kernel respondiendo yes a la pregunta de Disk QUOTA support. Los kernels precompilados que se distribuyen con Debian (paquetes kernel-image.) ya tienen esta opción habilitada.

Elección del sistema de ficheros sobre el que se aplican las quotas

Una vez dispuesto el kernel, hay que seleccionar qué sistema de ficheros necesitan tener aplicadas las quotas. Lo normal es que solo el sistema donde están las cuentas de usuarios tengan quotas, aunque es recomendable que tenga quotas todo sistema de ficheros donde los usuarios puedan escribir. Para habilitar las quotas en un sistema de ficheros hay que editar el fichero /etc/fstab e incluir las opciones usrquota y grpquota:

# /etc/fstab: static file system information. # file system mount point type options dump pas /dev/hda5 / ext2 defaults,errors=remount-ro,usrquota,grpquota 0

Habilitar las quotas

Para instalar los ficheros de quotas se debe ejecutar el comando:

quotacheck -avug Scanning /dev/hda5 [/] done Checked 4943 directories and 57624 files Using quotafile /quota.user Updating in-core user quotas Using quotafile /quota.group Updating in-core group quotas

La primera vez que se ejecuta este comando sirve para crear los ficheros de quotas: quota.user y quota.group.

Especificar quotas para usuarios o grupos

Para editar la quota de un usuario o grupo se usa el programa edquota con la opción -u para editar las quotas de usuarios y con la opción -g para editar las opciones de grupo. Sólo hay que editar los números que están detrás de soft y hard. El período de gracia que hay entre el límite soft y el hard puede cambiarse con:

edquota -t

La mayoría de las veces los usuarios tienen la misma quota. Una forma rápida de editar la quota de todos los usuarios es colocarse en el directorio donde tienen sus directorios raíz cada usuario. Editar la quota de uno de estos usuarios con los valores apropiados y, posteriormente, ejecutar:

edquota -p usuarioprototipo *

Para verificar las quotas que tiene un usuario se utiliza el comando:

quota -v

El superusuario puede ver las quotas de todos los usuarios con el comando:

repquota filesystem

Deshabilitar quotas para usuarios o grupos

Para deshabilitar las quotas de un usuario o grupo solo hay que editar las quotas y poner los límites a 0. Así un usuario puede usar tantos bloques e inodos como quiera.

Fuente

Guía de administración de Debian GNU/Linux Jorge Juan Chico <jjchico@imse.cnm.es> Manuel J. Bellido Díaz <bellido@imse.cnm.es>

Gestionar USUARIOS y GRUPOS en Ubuntu 12.04

Actualizado a 29 de Abril de 2012

Hola a todos, soy Juanetebitel y vamos a ver que en Ubuntu tenemos dos formas de gestionar los usuarios y grupos:

1. Gráfica -> La más sencilla2. Texto por Línea de comandos -> más técnica pero más potente al poder hacer varias cosas a la vez.

MODO GRAFICO EN UBUNTU

Actualización para Ubuntu 12.04: En la gui (interfaz gráfica), de la ahora llamada "cuentas de usuario", han quitado algunas opciones (gestionar grupos y usuarios) y básicamente, solo se puede crear/eliminar usuarios, tipo de cuenta, idioma, contraseña y opciones de inicio.

Si queremos más, hay que instalar el paquete "gnome-system-tools" en el centro de software o:sudo apt-get install gnome-system-tools

Este paquete contiene las siguientes aplicaciones:Users and groups > Esta es la anterior "usuarios y grupos" que nos da las opciones perdidas.Date and timeNetwork optionsServicesShares (NFS and Samba)

Ya podemos abrir "usuarios y grupos" desde el Dash (tecla Super o pulsando en el primer lanzador "Inicio" de la barra de Unity)

Usuarios y Grupos

1. Para añadir un usuario nuevo:

Pulsa el botón "Pulse para realizar los cambios" e introduce la contraseña de root o superusuario.Presiona + Añadir Usuario y se abre el Editor de Cuentas de Usuario.

En la pestaña "CUENTA" como mínimo debes de rellenar:

El Nombre de usuario. No uses espacios ni caracteres ASCII El Nombre real. Esto es opcional

El perfil: eliges entre Administrador, Usuario de Escritorio y Usuario sin Privilegios (esto genera los privilegios de usuario predeterminados, aunque posteriormente los puedes modificar).

La contraseña: la puedes poner a mano (2 veces) o eliges que Ubuntu la genere automáticamente.

En la pestaña "INFORMACION DE CONTACTO": Puedes poner la ubicación de la oficina y teléfonos. Esto es opcional.

En la pestaña "PRIVILEGIOS DEL USUARIO": Puedes añadir o quitar los privilegios a los que el nuevo usuario tendrá acceso,

como por ejemplo usar dispositivos de audio.

En la pestaña "AVANZADO": El directorio personal, el intérprete de comandos, el grupo principal y el ID del

usuario se adivina automáticamente dependiendo del perfil seleccionado, por lo que no debes de modificarlos.

2. Para modificar un usuario existente:

Selecciona el usuario que quieres modificar y pulsa el botón Propiedades. Aparecerá una ventana similar a la usada para añadir usuarios nuevos, permitiéndote modificarlos.

3. Para borrar un usuario existente:

Selecciona el usuario o usuarios que quieres borrar y pulsa el botón Borrar en la pestaña Usuarios, debido a la importancia de estos datos, se te pedirá confirmación para cada usuario que quieras borrar.

Por razones de seguridad, el directorio personal de los usuarios borrados no se borrará.

4. Para añadir un grupo nuevo:

Pulsa el botón "Gestionar Grupos" y pulsa "Añadir grupo", aparecerá una ventana nueva pidiendo los datos del grupo nuevo:

Nombe del grupo. ID del grupo.

Opcionalmente puedes especificar los usuarios que pertenecerán a este grupo.

5. Para modificar un grupo exixtente:

Pulsa el botón "Gestionar Usuarios", seleccionas el grupo y pulsa el botón Propiedades. A continuación aparecerá una ventana similar a la de añadir grupo, donde podrás modificar los datos.

6. Para borrar un grupo existente:

Pulsa el botón "Gestionar Usuarios", seleccionas el grupo y pulsa el botón Borrar, debido a la importancia de estos datos, se te pedirá confirmación para cada grupo que quieras borrar.

MODO TEXTO CON LA TERMINAL

Para gestionar los usuario debes usar el comando sudo. Estos son los comandos:

1. Añadir usuarios y grupos

Para añadir un usuario:sudo adduser nombreusuarioEl sistema pedirá alguna información adicional sobre el usuario y un password o clave. Por defecto, se crea un grupo con el nombre del usuario y éste será el grupo por defecto. Este comportamiento se configura en /etc/adduser.conf.

Para añadir un usuario al sistema estableciendo users como su grupo principal:sudo adduser --ingroup users nombreusuario

Para ver las opciones de añadir usuarios utiliza el comando man.sudo man adduser

Para añadir nuevos grupos, cuando el número de usuarios es numeroso y heterogéneo y así simplificamos el tema. Esto se hace con el comando addgroup. Por ejemplo:.sudo addgroup nombregrupo

Para añadir un nuevo usuario a un grupo existente puedes hacer lo siguiente:sudo adduser nombreusuario nombregrupo

Para añadir un usuario existente a un grupo existente puedes usar el mismo comando:sudo adduser nombreusuario nombregrupo

2. Eliminar usuarios y grupos

Para eliminar usuarios y grupos se emplean userdel y groupdel respectivamente. Por ejemplo: Para eliminar el usuario juan:sudo userdel juanSi además se indica la opción -r, también se borrará el directorio personal del usuario con todo su contenido:sudo userdel -r juan

Para eliminar el grupo profesores:sudo groupdel profesores

3. Modificar usuarios y grupos

Para modificar las características de los usuarios y grupos se emplean los comandos usermod y sudo groupmod. Algunos ejemplos:

Para cambiar el directorio de inicio del usuario juan para que sea /home/profesores/juan. La opción -m hace que mueva el contenido del antiguo directorio al nuevo emplazamiento.

sudo usermod -d /home/profes/juan -m

Para cambiar el grupo inicial del usuario juan para que sea profesores.sudo usermod -g profesores juan

Para cambiar el nombre del usuario juan. El nuevo nombre es jorge.sudo usermod -l jorge juan

Para cambiar el nombre del grupo profesores a alumnos.sudo groupmod -n alumnos profesores

4. Ficheros relacionados con la gestión de usuarios y grupos

Algunos ficheros relacionados con las cuentas de usuario son: /etc/passwd: contiene información sobre cada usuario: ID, grupo principal,

descripción, directorio de inicio, shell, etc. También contiene el password encriptado, salvo que se usen shadow passwords.

/etc/shadow: contiene los passwords encriptados de los usuarios cuando se emplean shadow passwords.

/etc/group: contiene los miembros de cada grupo, excepto para el grupo principal, que aparece en /etc/passwd.

/etc/skel: directorio que contiene el contenido del directorio de los nuevos usuarios.

5. Algunos grupos especiales

En el sistema existen algunos grupos especiales que sirven para controlar el acceso de los usuarios a distintos dispositivos. El control se consigue mediante los permisos adecuados a ficheros de dispositivo situados en /dev. Algunos de estos grupos son:

cdrom: dispositivos de CD–ROM. El dispositivo concreto afectado depende de donde estén conectadas las unidades de CD–ROM. Por ejemplo, /dev/hdc.

floppy: unidades de diskette, por ejemplo, /dev/fd0

dialout: puertos serie. Afecta, por ejemplo, a los modems externos conectados al sistema. Por ejemplo, /dev/ttyS1

audio: controla el acceso a dispositivos relacionados con la tarjeta de sonido. Por ejemplo, /dev/dsp, /dev/mixer y /dev/sndstat.

Para dar acceso a un usuario a uno de estos servicios, basta con añadirlo al grupo adecuado. Por ejemplo, para dar acceso al usuario juan a la disquetera haríamos:sudo adduser juan floppy

Alternativamente, para sistemas pequeños suele ser mejor"desproteger" los dispositivos adecuados para que todos los usuarios puedan usarlos, evitando tener que recordar añadir usuarios a los grupos adecuados. Por ejemplo, para dar acceso de lectura al CD–ROM (suponiendo que esté en /dev/hdc) y de lectura/escritura a la disketera a todos los usuarios, haríamos:sudo chmod a+r /dev/hdcsudo chmod a+rw /dev/fd0*

6. Límites a los usuarios

En los sitemas UNIX/LINUX existe la posibilidad de limitar recursos a los usuarios o grupos, por ejemplo, el máximo numero de logins que puede realizar simultáneamente un usuario, el máximo tiempo de CPU, el máximo numero de procesos etc. Estos límites se controlan en LINUX a través del fichero /etc/security/limits.conf. También es posible limitar los tiempos de acceso a los usuarios. Una de las formas de hacerlo es con el servicio timeoutd. Este servicio se instala a través de la distribución y, una vez instalado aparece un fichero de configuración /etc/timeouts. En este fichero de configuración las lineas en blanco o que comienzan por # no son interpretadas. El resto de las líneas debe tener alguna de las dos siguientes sintaxis:TIMES:TTYS:USERS:GROUPS:MAXIDLE:MAXSESS:MAXDAY:WARN

o bienTIMES:TTYS:USERS:GROUPS:LOGINSTATUS

Ejemplos de límites horarios:

El ususario curso no puede hacer login durante el fin de semana:SaSu:*:curso:*:NOLOGIN

Sólo el ususario root puede acceder desde las consolas tty1 a tty6:Al:tty1,tty2,tty3,tty4,tty5,tty6:root:*:LOGINAl:tty1,tty2,tty3,tty4,tty5,tty6:*:*:NOLOGIN

Sólo el usuario root puede acceder entre las 15:00 y las 16:00h de cada dia:Al1500-1600:*:root:*:LOGINAl1500-1600:*:*:*:NOLOGIN

Una vez que se ha preparado el fichero /etc/timeouts es necesario reiniciar el servidor timeoutd:/etc/init.d/timeoutd restartStopped /usr/sbin/timeoutd (pid 2412).Starting /usr/sbin/timeoutd...

Es importante destacar que este proceso no actúa durante el proceso de login lo que da lugar a que, aunque un usuario tenga prohibido el acceso a una máquina en un momento determinado, inicialmente puede entrar y sólo, una vez que se ejecute el proceso timeoutd, será expulsado del sistema. Para conseguir que durante el proceso de login se revisen las condiciones de timeouts se debe incluir las siguientes lineas en el fichero /etc/profile:

Comprueba restricciones de timeoutd (ver timeoutd, timeouts(5))/usr/sbin/timeoutd ‘whoami‘ ‘basename \‘tty\‘‘ || exit

Con esta línea incluso aunque el servicio timeoutd este parado si en el fichero /etc/timeouts se prohibe el acceso a un usuario éste no podrá entrar en el sistema.

7. Límites de cuotas

El sistema de cuotas provee un mecanismo de control y uso del espacio de disco duro disponible en un sistema. Se pueden establecer limites en la cantidad de espacio y el número de ficheros de que puede disponer un usuario o grupo. En las cuotas hay cuatro números para cada límite: la cantidad actual ocupada; el límite soft (quota propiamente dicha); el límite hard (espacio sobre cuota), y el tiempo que resta antes de eliminar el exceso entre soft y hard. Mientras que el límite soft puede ser superado

temporalmente, el límite hard nunca puede rebasarse.

Administrando el sistema de cuotas:

Para implementar el sistema de cuotas es necesario instalar algún paquete de control de dicho sistema. En Ubuntu hay un paquete denominado cuota que instala todo lo necesario para implementar todo el sistema. Una vez instalado tenemos que realizar una serie de pasos para activar el mecanismo de cuotas. Estos pasos son:

7.1. Configuración del kernel

Antes de instalar el sistema de cuotas debe disponerse de un kernel con la opción de quota–system habilitada. Esto se consigue en el proceso de compilación de un nuevo kernel respondiendo yes a la pregunta de Disk QUOTA support Los kernels precompilados que se distribuyen con Debian (paquetes kernel-image.ya tienen esta opción habilitada.

7.2. Elección del sistema de ficheros sobre el que se aplican las cuotas

Una vez dispuesto el kernel, hay que seleccionar que sistema de ficheros necesitan tener aplicadas las cuotas. Lo normal es que solo el sistema donde están las cuentas de usuarios tengan cuotas, aunque es recomendable que tenga cuotas todo sistema de ficheros donde los usuarios puedan escribir. Para habilitar las cuotas en un sistema de ficheros hay que editar el fichero /etc/fstab e incluir las opciones usrquota y grpquota:# /etc/fstab: static file system information.# file system mount point type options dump pas/dev/hda5 / ext2 defaults,errors=remount-ro,usrquota,grpquota 0

7.3. Habilitar las cuotas

Para instalar los ficheros de cuotas se debe ejecutar el comando:quotacheck -avugScanning /dev/hda5 [/] doneChecked 4943 directories and 57624 filesUsing quotafile /quota.userUpdating in-core user quotasUsing quotafile /quota.groupUpdating in-core group quotas

La primera vez que se ejecuta este comando sirve para crear los ficheros de quotas: quota.user y quota.group

7.4. Especificar cuotas para usuarios o grupos

Para editar la cuota de un usuario o grupo se usa el programa edquota con la opción -u para editar las cuotas de usuarios y con la opcion -g para editar las opciones de grupo. Sólo hay que editar los números que están detrás de soft y hard. El período de gracia que hay entre el límite soft y el hard puede cambiarse con:edquota -t

La mayoría de las veces los usuarios tienen la misma cuota. Una forma rápida de editar la cuota de todos los usuarios es colocarse en el directorio donde tienen sus directorios raíz cada usuario. Editar la cuota de uno de estos usuarios con los valores apropiados y, posteriormente, ejecutar:edquota -p usuarioprototipo *

Para verificar las cuotas que tiene un usuario se utiliza el comando:quota -v

El superusuario puede ver las cuotas de todos los usuarios con el comando:repquota filesystem

7.5. Deshabilitar cuotas para usuarios y grupos

Para deshabilitar las cuotas de un usuario o grupo solo hay que editarlas cuotas y poner los limites a 0. Así un usuario puede usar tantos bloques e inodos como quiera.

Usuarios y Grupos

Introducción

Actualmente la mayoría de sistemas operativos son multiusuario y multitarea. Esto implica que más de un usuario puede trabajar en el sistema de forma simultánea a otros, ejecutando más de una tarea a al vez. Por este motivo es muy importante que el sistema operativo incorpore mecanismos para manipular y controlar correctamente los usuarios: el sistema de login, los programas que puede ejecutar cada uno, protección para los ficheros de los usuarios, etc.

Los sistemas basados en Unix organizan todo esto por usuarios y grupos; al entrar en el sistema debemos identificarnos con un login y una contraseña. El sistema de contraseñas es unidireccional. Esto quiere decir que nuestra contraseña encripta y luego se almacena. Para encriptarla se usa un algoritmo unidireccional, es decir, que a partir de la contraseña cifrada es imposible obtener la original. Por ello, para verificar nuestra cuando hacemos un login, se encripta la contraseña introducida y se comparan las contraseñas encriptadas.

Si un usuario es un individuo particular que puede entrar en el sistema, un grupo es un conjunto de usuarios con acceso al sistema que comparten unas mismas características, de forma que nos es útil agruparlos para poder darles una serie de permisos especiales en el sistema. Un usuario debe pertenecer, al menos, a un grupo.

En todo sistema debe haber un superusuario (root), que tendrá todos los permisos y privilegios máximos que le permitirán hacer cualquier operación sobre el sistema. Es importante que esta cuenta no se utilice para trabajar habitualmente en el sistema. Sólo deberíamos entrar como root cuando sea necesario, utilizando otras cuentas para el trabajo normal.

Ficheros de configuración

Toda la información de usuarios y grupos se guarda en los siguientes ficheros:

/etc/passwd: Información (nombre, directorio home, ...) del usuario. /etc/group: Información sobre los grupos de usuarios.

/etc/shadow: Contraseñas encriptadas de los usuarios y configuración para su validez, cambio, etc.

Los campos de estos ficheros contienen toda la información que podemos manipular de los usuarios. Pero esto no suele hacerse editando directamente estos ficheros (aunque puede hacerse) sino que existen unos comandos específicos para facilitarnos esta tarea.El hecho de que las contraseñas encriptadas puedan ser leídas no compromete la seguridad de nuestro sistema por el motivo explicado en el segundo párrafo de la introducción.

Comandos básicos de administración

Sólo root tiene permiso para manipular la información de los usuarios, darlos de alta, eliminarlos, etc. Para ello utiliza una serie de comandos:

useradd: Añade un usuario al sistema. La forma en como éste se añade (si no le pasamos parámetros) puede ser configurada en el fichero /etc/adduser.conf.

adduser: Añade un usuario a un grupo determinado. (P. ej. adduser nacx audio (Añadiriamos al usuario nacx al grupo de audio))

usermod: Con este podemos modificar la mayoría de los campos de los ficheros /etc/passwd y /etc/shadow.

chfn: Cambia la información personal del usuario.

chsh: Cambia el shell (intérprete de comandos) del usuario.

userdel: Elimina un usuario del sistema, borrando o guardando todos sus ficheros, según los parámetros que le pasemos.

passwd: Para cambiar la contraseña del usuario, la información de expiración de la misma, o para bloquear o desbloquear una determinada cuenta.

groupadd: Permite añadir un grupo al sistema.

groupmod: Permite modificar la información (nombre y GID) de un determinado grupo.

groupdel: Elimina un determinado grupo. SI algún usuario lo tiene como primario no se podrá eliminar.

gpasswd: Para cambiar la contraseña del grupo.

Evidentemente, de momento sería muy largo explicar detalladamente y con ejemplos cada uno de estos comandos, pero su sintaxis es muy parecida y en las páginas del man están muy bien explicados y no hay que leer demasiado.

Comandos útiles

Para saber qué usuario somos en el sistema podemos utilizar el comando whoami, que mostrará nuestro login o si lo ponemos separado who am i nos dirá con que login nos logueamos por primera vez en la maquina. También podemos convertirnos en otro usuario sin tener que salir de la sesión con el comando su, o cambiarnos de grupo con newgrp.

Como decíamos al principio GNU/Linux es un sistema multiusuario, con lo que en un momento dado puede haber varios usuarios conectados al sistema de forma simultánea. Para saber qué usuarios hay conectados podemos utilizar el comando who, que nos muestra una lista de usuarios dentro del sistema. w, además, nos muestra qué están haciendo. Nos podemos comunicar con ellos utilizando el comando write, con el que aparecerá el mensaje que escribamos en la pantalla del usuario que indiquemos, o wall, que escribe el contenido del fichero que especifiquemos a todos

los usuarios. Para activar o desactivar la opción de recibir mensajes podemos utilizar el comando mesg.