第6章:用户和安全的管理
1.smit security:一般的用户与安全管理任务完全可以由SMIT工具完成
2.vi /etc/motd:编辑该文件,可以改变登录显示的信息
3.用户:系统中的每一个用户都有一个用户名(User Name),用户ID(User Identification)和密码(Password)。用户名是用户的标识符,是一个字符串,与之一一对应的用户ID是一个正整数,用户ID是用户的标识号,用户名和用户ID号都是用来标识用户的唯一性。
<1>.用户名:主要在操作系统和用户之间使用
<2>.用户ID:主要由操作系统自己使用,操作系统内部使用用户ID来处理每个用户。UserID 为0的用户是root用户,系统使用的UserID是从0-199,用户自定义的用户ID是从200开始的
<3>.密码:是证明用户具有使用系统的权限,也是唯一能够验证用户进入系统是否合法
<4>.用户名和用户ID:存放在/etc/passwd文件中,用户密码存放在/etc/security/passwd文件中,用户扩展属性存放在/etc/security/user文件中
4.组:把完成同一个工作的用户放入一个组中,有利于他们共享文件和数据,便于协同工作。每一个组都有它的组名(Group Name)和组ID(Group Identification)。一个用户可以属于一个组,也可以属于多个组。
<1>.组名:主要用于操作系统和用户之间,组名是唯一的
<2>.组ID(Grooup ID):主要用于操作系统本身使用,操作系统内部使用组ID来处理每个组,组ID在系统中是唯一的
<3>.组名和组ID:存放在/etc/group文件中,组的扩展属性存放在/etc/security/group文件中
5.组的分类:每一组都有一个组管理员,组管理员主要负责增加和删除本组的成员,但组管理员没有管理整个系统的权限
1).用户级的组:这些组是由系统管理员在系统运行以后增加的,目的是将需要共享相同文件信息的用户放在一组里。
2).系统管理组:具有管理系统权力的用户就属于一组,即系统管理组(system组),超级管理员root就属于system组
3).系统预定义组:在系统安装好后,就存放一些默认组,这些组通常用于控制某种子系统,例如:
<1>.staff组:就是一个普通的组,增加的新用户默认就分配到该组中
<2>.security组:就是负责安全管理的组,属于该组的用户可以增加,删除用户和组,可以修改用户的属性和密码,还可以修改组的属性等
<3>.adm组:主要监视系统的性能
<4>.audit组:主要对系统运行进行审计
6.AIX将用户分为以下三类:
<1>root用户:它的权力最大,可以管理系统中的任何用户
<2>.管理型用户:可以完成系统中层的管理工作,只有root用户可以增加,删除和修改它们,属于security组的用户没有权力管理它们。管理型用户定义在/etc/security/user文件中,在该文件中每一个用户都有一组控制设置,其中有一个域是admin,它就确定该用户是否为管理型用户,将它的值设置为TRUE时,则该用户就是管理型用户
<3>.普通用户
7.用户管理相关的文件:在AIX系统中,用文本文件存放用户信息,组信息以及控制用户登录系统,用户管理命令和安全管理命令都会对这些文本文件进行存取,所以这些文件与用户管理工作密不可分,熟悉这些文件对安全管理工作有很大的帮助,如下:
<1>./etc/passwd:系统中所有用户的清单文件,存放用户的基本信息
<2>./etc/security/passwd:存放所有用户的密码文件
<3>./etc/security/user:存放用户的扩展信息文件
<4>./etc/group:系统中所有组的清单文件,存放组的基本信息
<5>./etc/security/group:存放组的扩展信息文件
<6>./usr/lib/security/mkuser.default:存放新创建用户默认属性的默认值文件
<7>./etc/security/login.cfg:存放控制用户登录系统和身份验证配置的文件
<8>./etc/security/environ:存放用户进入系统后的工作环境配置文件
<9>./etc/security/limits:限制用户使用系统资源的配置文件
<10>./etc/security/lastlog:记录上次登录系统情况的文件
8./etc/passwd文件:用户有用户名和用户ID,就像人有姓名和身份证号,对于用户来说,用户名和UID必须一一对应,为了实现这个对应关系,系统运用/etc/passwd文件完成这个映射功能,该文件还包含了系统中所有用户的基本信息,当系统管理员增加或删除用户时,就会更新该文件,它是以记录的形势保存信息
9./etc/security/passwd文件:由于用户信息和用户密码是分别放在两个文件中,AIX系统用/etc/security/passwd文件以密文格式存放用户的密码信息,该文件是以节形式出现
10/etc/security/user文件:以节的形式记录着用户的扩展信息
11./etc/group文件:用户被分成许多组,通过组可以管理一组用户,而组的定义存放在/etc/group文件中,用/etc/group文件可以成组地控制用户对文件系统和系统的资源的访问。每一个组都有一个唯一的组名和组ID(GID),一个用户可以成为多个或者一个组的成员,同组的成员可以共享本组的资源。
12./etc/security/group文件:组的基本信息存放在/etc/group文件中,组的扩展信息以节格式存放在/etc/security/group文件中,只有root和security组的用户可以读取/etc/security/group文件,而且只有root用户对该文件有写权限
13./usr/lib/security/mkuser.default文件:用mkuser命令创建用户时,它会从/usr/lib/security/mmkuser.default文件中读默认属性的默认值。这些默认属性如果在mkuser 命令中指定了,就不使用默认值。该文件的内容也是节形式,默认情况下它有两个节,user 节和admin节,分别包含普通用户的默认属性值和管理型用户的默认属性值
14./etc/security/login.cfg文件:AIX系统不仅对用户本身的安全控制比较严格,而且对登录的终端还有所控制,/etc/security/login.cfg文件配置了系统登录和用户身份验证控制的属性。该文件内容也是节形式出现,该文件中包含了3种类型的节,如下:
<1>.终端节:对从某个终端的登录进行控制
<2>.验证身份方法节:定义验证用户身份的方法
<3>.用户配置节:定义其他安全属性
15./etc/security/environ文件:用户成功登录后,系统就为用户建立一个工作环境,在/etc/security/environ文件中可以为每个用户建立不同的环境。该文件内容也是节格式,一个用户一个节。当使用mkuser命令创建一个用户时,在该文件中为用户增加一个节,在用户节中属性的初始值取自/usr/lib/security/mkmuser.default文件中
16./etc/security/limits文件:用户访问资源的限制定义在/etc/security/limits文件中,用户并不是可以无限制地使用系统中的资源,创建任意大的文件,使用任意大的内存。系统资源对用户来说是非常宝贵的,所以用户对资源的访问都是有限制的,而且可以为每个用户明确地限制精确的资源量
eg:ulimit -a:设置和显示所有限制的值
17./etc/security/lastlog文件:用户每次登录时,会显示上次哪个终端在什么时间成功地登录系统,以及上次从哪个终端什么时间没有成功地登录系统。有时用户在登录系统时被锁住了,这是因为限定了用户未登录系统的次数,超了这个次数,用户就会被锁住,系统就是通过/etc/security/lastlog文件知道这个次数的,该文件保存了用户上次登录系统的信息
18.管理用户账号:新用户必须由root用户或者security组的用户创建,然后才能登录系统。当某个用户不再使用系统时,很有必要将该用户从系统中删掉,这样对系统的安全有好处;当某些用户在系统中工作时,它的操作可能会影响到系统的健康运行,作为系统管理员有必要对它的权限加以控制,限制它的权限。这些都是管理用户账号的任务,包括建立用户账号,修改用户信息,删除用户和显示用户的有关信息
<1>.smit user:使用smit工具管理用户
19.使用mkuser命令创建新用户:
<1>.mkuser -a allen:创建一个管理型用户allen
<2>.mkuser su=false allen:创建一个新用户时,设置su属性值为false,使其他用户不能用su命令切换到该用户的身份下
<3>.smitty mkuser:使用smit工具创建用户
<4>.在创建新用户时:mkuser命令会为新用户创建一个初始目录(HOME目录),同时建立一个.profile文件。这个程序文件是shell脚本,所以用户可以修改它,来满足在创建用户时要求的特殊功能。该.profile文件内容是从默认的/etc/security/.profile文件中来的。若每次创建用户时,都要修改用户的.profile文件内容,可以统一修改/etc/security/.profile文件
20.显示和修改用户的属性:
<1>.pg /etc/passwd:显示系统已有的用户信息
<2>.lsuser ALL:显示系统已有的用户信息
<3>.lsuser -f ALL:按节格式显示系统已有的用户信息
<4>.lsuser -f allen:按节格式显示allen用户的属性,显示任何用户的属性时,root用户和security组中的用户所获得的内容比普通用户获得的属性内容多
<5>.lsuser -c allen:显示allen用户的属性,各属性间用冒号隔开
<6>.lsuser -a pgrp allen:显示allen用户的pgrp属性
<7>.chuser admin=true allen:修改allen用户为管理型用户
<8>.chuser login=false allen:禁止allen用户不能登录
<9>.chuser su=true bean:修改bean用户的su属性值为true
<10>.chuser shell=/usr/bin/csh allen:改变用户allen的shell为csh
<11>.chuser "admin=true" "pgrp=security" allen:修改allen用户的基本组为security,同时汤allen用户成为管理型用户
<12>.smit lsuser:使用smit工具显示系统中的用户
<13>.smit chuser:使用smit工具显示和修改用户的属性
21.改变用户的登录shell,现在使用ksh,若想换位csh,下面是更换shell过程:
<1>.tty:获得当前终端号
<2>.ps -t tty0:显示在当前终端上运行的程序
<3>.csh:临时更换shell为csh
<4>.ps -t tty0:显示在当前终端上运行的程序
<5>.chsh allen /usr/bin/csh:永久更换allen用户登录时的shell为csh
22.修改用户的安全属性:用户的所有属性都存放在用户配置文件中,修改用户配置文件的相应的安全属性可以提高用户的安全性,使用chsec命令修改某些节的属性,如下:
<1>.chsec -f /etc/security/login.cfg -s /dev/tty0 -a logindisable=5 -a logininterval=60
含义:从/dev/tty0终端登录系统时,如果在60秒内5次未成功登录系统,就自动对/dev/tty0终端加锁,其中/dev/tty0是节名称
<2>.chsec -f /etc/security/user -s default -a logintimes=:0800-1800
含义:只允许所有用户从上午8:00到下午6:00进入系统,其中default是节名称
23.删除用户:
<1>.rmuser allen:删除allen用户,而不删除用户密码信息及身份验证信息
<2>.rmuser -p allen:删除allen用户,还要删除用户密码信息及身份验证信息
<3>.rm -r /home/allen:删除完用户的初始目录及其中的文件
<4>.smit rmuser:使用smit工具删除用户
24.给用户账号加锁/解锁:
<1>.chuser account_locked=true peter:给peter用户加锁,使他不能登录系统
<2>.chuser account_locked=false peter:给peter用户解锁,使他能够登录系统
<3>.smit lockuser:使用smit工具给某个用户加锁和解锁
25.重置某用户失败登录次数:在/etc/security/user文件中设置了某用户的loginretries属性不为0时,则就会出现由于该用户数次登录失败而被锁了,但是不能用“7)”中的方法给该用户解锁。用户失败登录次数的值被记录在/etc/security/lastlog文件中,要解除这种情况下的用户被加锁,必须修改该文件中的unsuccessful_login_count属性的值,如下:
<1>.chsec -f /etc/security/lastlog -s allen -a unsuccessfull_login_count=0:给allen用户解锁,其中allen为节名称
<2>.smit failed_logins:使用smit工具重置某个用户失败登录次数
26.组的管理:同一组的用户对属于该组的文件有同样的权限,创建用户时,要确定他属于哪一个组,必须保证这个组存在,否则在创建该用户时就无法指出他应该属于的组,所以在创建用户前应该创建组。组的管理包括创建组,修改组属性和删除组:
<1>.smit group:使用smit工具管理组
27.创建组:
<1>.mkgroup informix:创建一个informix组
<2>.mkgroup -a informix:创建一个informix管理型的组,只有root用户才能使用-a参数
<3>.mkgroup -A informix:创建一个informix组,并让执行此命令的用户成为组的管理员
<4>.smit mkgroup:使用smit工具创建组
28.显示组的属性:用lsgroup命令不仅可以显示系统中所有或部分存在的组,而且可以显示指定属性的值:
<1>.lsgroup ALL:显示所有的组及其属性
<2>.lsgroup -f informix:按节方式显示informix组的属性
<3>.lsgroup -c informix:显示informix组属性,各属性之间用冒号隔开
<4>.smit lsgroup:使用smit工具来显示所有的组
29.修改组的属性:使用chgroup命令修改某个组的属性,必须指定要修改组的名称:
<1>.chgroup users=informix,allen informix:将用户allen加入到informix组中
<2>.smit chgroup:使用smit工具来修改组的属性
30.删除组:
<1>.rmgroup informix:删除informix组
<2>.smit rmgroup:使用smit工具删除某个组
31.用户密码管理:在AIX系统有两个命令可以修改用户密码,如下:
<1>.passwd:主要用来修改用户的密码
<2>.pwdadmin:主要由root用户或security组的用户使用
32.用passwd命令修改用户密码和登录shell:
<1>.passwd:任何用户可以使用passwd命令修改自己的密码
<2>.id:查看自己的UID和GID
<3>.passwd peter:修改peter用户的密码
<4>.passwd -f peter:修改peter的/etc/passwd文件中的gecos字段,若当前用户是peter,则参数peter可以省略
<5>.lsuser -a gecos peter:显示peter的gecos属性的值,确定修改成功
<6>.passwd -s peter:修改peter的登录shell,若当前用户是peter,则参数peter可以省略
<7>.lsuser -a shell peter:显示peter的登录shell属性的值,确定修改成功
33.用pwdadm命令管理用户密码:pwdadm命令不仅可以修改用户的密码,而且还可以管理用户密码的相关属性,示例如下:
<1>.id:显示当前用户的UID和GID
<2>.pwdadm peter:修改peter用户的密码
<3>.pwdadm -q peter:显示peter用户的lastupdate和flags属性的值
<4>.pwdadm -c peter:清除peter用户在/etc/security/passwd文件中的flags属性值
<5>.pwdadm -q peter:再次显示peter用户的lastupdate和flags属性的值
<6>.pwdadm -f ADMIN peter:设置在/etc/security/passwd文件中的flags属性的值为ADMIN
<7>.pwdadm -q peter:显示peter用户的lastupdate和flags属性的值
<8>.smit passwd:使用smit工具修改用户密码
<9>.smit passwdattrs:用smit工具显示和修改用户密码属性,控制用户密码的属性记录在/etc/security/user文件中
34.用户的工作环境:当一个用户登录进入系统后,就运行初始的shell,同时初始shell 为用户建立了一个shell环境,即用户的工作环境。shell实际上是一个命令解释器,它负责解释和执行用户发出的任何命令,同时将执行结果反馈给用户。在用户的工作环境中,存在着许多环境变量和Shell变量,用户的应用程序会依赖这些变量进行
35.定制用户环境:用户的登录shell依次执行/etc/profile,/etc/environment和$HOME/.profile 文件,建立该用户的所有环境变量。修改/etc/profile或/etc/environment文件内容将会改变所有用户在登录时的环境变量,如果只想对某个用户的环境做进一步的设置,可以在该用户的主目录下,编辑.profile文件或.cshrc文件。
1).根据登录shell的不同,设置用户环境所使用的文件也不同,如下:
<1>.sh和ksh:用/etc/profile,/etc/environment和$HOME/.profile文件设置用户环境
<2>.csh:用/etc/profile,/etc/environment和$HOME/.cshrc文件设置用户环境
2).环境变量是shell的任何子进程将要使用的变量,用户可以在.profile文件中定义,也可以在命令行中临时定义或修改环境变量的值。要使环境变量在用户环境中生效,必须用export 命令将环境变量传给当前环境,有以下几种格式:
<1>.$PATH=/bin:/etc/:/usr/bin
$export PATH
<2>.$PATH=/bin:/etc/:/usr/bin;$export PATH
<3>.$export PATH=/bin:/etc/:/usr/bin LOGNAME=allen HOME=/usr/$LOGNAME:export 命令可以将多个环境变量同时传给当前环境
36./etc/profile文件:用户登录系统后,初始shell执行的第一个文件是/etc/profile。这个文件控制着全系统的默认变量,只有系统管理员才能修改这个文件,通过修改这个文件的内容,系统管理员可以定制所有用户的环境,它包括以下内容:
<1>.创建文件的默认掩码,也就是umask的值
<2>.终端类型
<3>.提示用户有邮件时所显示的信息
<4>.将该文件设置的环境变量传到用户环境中
37./etc/environment文件:用户的应用程序在运行时,需要一定的环境支持,/etc/environment文件中包含的基本环境变量适用于所有的应用程序。当一个程序被运行时,系统就会检查环境变量,并为该进程建立一个运行环境。一旦建立进程,运行环境也同时被建立,因此改变/etc/environment文件的内容,不会改变进程的运行环境。改变环境变量的值后,如果影响到进程的运行,则必须重新启动该进程才可获得环境变量的新值。如果修改了/etc/environment文件中的变量值,并不会在当前用户环境中起作用,必须用export命令将环境变量的新值传给当前环境或者用户退出系统,然后再进入一次,环境变量的新值在系统中就起作用了
38.$HOME/.profile文件:用户登录系统后,最后执行的一个文件是用户主目录下的.profile文件。用户可以根据自己的要求修改这个文件中的内容,而这些修改不会影响其他用户,只对用户自己的环境起作用。在.profile文件中设置的环境变量如果与/etc/profile文件中设置的环境变量有相同的,那么在$HOME/.profile文件中设置的环境变量会覆盖/etc/profile中的环境变量值
39.设置命令提示符:是由3个环境变量控制,分别是PS1,PS2和PS3。PS1是主提示符变量,PS2是副提示符变量,PS3是root用户提示符变量,示例如下:
<1>.PS1="$PWD>":提示符中引用环境变量的内容,这时提示符显示当前工作目录
<2>.HOSTNAME='Leo'
export PS1="[$HOSTNAME][$"PWD"]#"
含义:将shell提示符改为主机名加工作目录
<3>.在命令提示符在命令行直接输入,这属于暂时设置,当重启系统后,提示符变量值仍然是默认值。若想永久性地修改提示符,可以将修改提示符的命令添加到$HOME/.profile文件中
40.显示环境变量的内容:
<1>.echo $LOGNAME:显示shell中的LOGNAME变量
<2>.set:显示所有的环境变量及相应的值
<3>.env:显示所有的环境变量及相应的值
41系统的日志文件:UNIX系统的安全性不仅在于对用户权限的限制,而且还有很强的安全日志记录。系统的日志存放在一些文件中,这些文件只由root用户读写,如下:
1).系统日志文件,分为以下几类:
<1>./var/adm/sulog:记录每次执行su命令的日志
<2>./var/adm/wtmp:包括进入和退出系统的所有用户,以及用户在系统中持续的时间,用户进入系统的终端或远程主机,该文件可以用who和last命令查看
<3>./etc/utmp:当用户成功登陆系统后,在该文件中写一条记录
<4>./etc/security/failedlogin:记录每次失败登录系统的情况
2)./var/adm/sulog文件:可以用pg,more或cat命令查看,如下:
<1>.cd /var/adm
<2>.more sulog:显示每个用户使用su命令的记录
3).last命令:可以直接使用last命令显示从上次清理该文件后到现在所有进入系统和退出系统的用户记录,该命令默认是从/var/adm/wtmp文件读取信息:
<1>.last -8:显示最新的8条记录信息
<2>.last peter:显示peter用户进入系统的情况
<3>.last tty0:显示用户从tty0终端上进入系统的记录
<4>.who /var/adm/wtmp:显示wtmp文件的内容
4).who /etc/utmp:显示进入到系统中的用户记录
5).who /etc/security/failedlogin:显示失败登录系统的记录
42.who命令:一般功能是显示正在当前系统中工作的用户,它还能显示当前系统的运行级别和最近一次启动系统的时间等信息,示例如下:
<1>.who :显示当前系统中已登录的用户
<2>.w:显示当前系统中已登录的用户
<3>.who -b:显示当前系统的启动时间,功能同uptime命令
<4>.who -b /var/adm/wtmp:显示历次系统启动的时间
<5>.who -r:显示当前系统的运行级别
<6>.who -pH:显示当前系统由init创建的进程
<7>.who am i:显示当前用户是谁
<8>.who -t /var/adm/wtmp:显示历次修改系统时间的记录
<9>.who -dH:显示当前系统中已经死亡的又没有被init进程重新创建的进程
<10>.who -a:显示/etc/utmp文件中的所有信息,即显示进入到系统中的用户记录
43.登录AIX-5L系统时禁止显示用户名:
<1>.chsec -f /etc/security/login.cfg -s default -a pwdprompt="Password:"
含义:禁止显示“密码提示信息”中的用户名
<2>.chsec -f /etc/security/login.cfg -s default -a pwdprompt=
含义:“密码提示信息”被设置成默认的
<3>.chsec -f /etc/security/login.cfg -s default -a usernameecho=FALSE
含义:设置登录系统时不显示用户名,使用su和用passwd命令修改密码时也不显示用户名
<4>.chsec -f /etc/security/login.cfg -s /dev/lft0 -a usernameecho=FALSE
含义:设置从终端/dev/lft0登录系统时不显示用户名,使用su和用passwd命令修改密码时也都不显示用户名
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/619230548.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/619230548.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/619230548.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
实验7 用户管理和密码管理 1 实验目的 1、通过实验掌握用户和组的管理命令。 2、了解与用户和组管理相关的文件。 2 实验环境 VMware中已经安装好CentOS6.2版本。 3 实验原理或背景知识 3.1 用户管理命令 用户管理的命令主要有3个,即useradd、userdel和usermod,分别用于用户的建立、用户的删除和用户属性的修改。它们的详细说明可参见教材P73~P74或查看帮助手册。 3.2 组管理命令 组管理命令主要有groupadd、groupdel和groupmod等,分别用于组的建立、组的删除和组的属性修改。它们的详细说明可参见教材P75或查看帮助手册。 3.3 密码管理 密码管理的命令是passwd和chage,passwd使用可参见教材P76或查看帮助手册,chage 的使用可参见man手册。 3.4 与用户管理相关的文件 与用户管理相关的文件有/etc/passwd、/etc/shadow、/etc/group、/etc/login.defs、/etc/default/useradd等,用于对用户设置和登录项目进行控制。这些文件的说明可参见教材。 4 实验任务 1、使用useradd、userdel、usermod、passwd、groupadd、groupdel等命令建立用户和
组,删除用户和组,修改用户或组的属性,将用户添加进入组或者从组中删除。 2、通过修改管理文件达到管理用户或组的目的。 5 实验步骤 练习1:使用命令进行用户帐号的管理操作 1、创建一个用户,用户名为Tom,描述信息为tommy,用户组为Tom,登录shell为 /bin/csh,登录主目录为/home/tom_office,用户ID为3600,帐号过期日期为2010处10月8号。 2、将用户帐号名由Tom改为Tommy。 3、为用户Tommy设置密码。 4、将用户帐号Tommy的帐号过期日期设为2010年9月30日,密码的最大生存期设 为100天,密码过期前10天起开始提醒用户。 练习2:使用命令进行用户组帐号的管理操作 5、创建一个GID为506,组名为company的用户组帐号。 6、创建用户Tom、employee1、employee2。 7、指定用户帐号Tom为用户组company的组管理员。 转换到用户帐户Tom登录,将用户employee1、employee2加入到组company中。 8、查看登录到系统的用户有哪些,再给这些用户发个消息通知他们你将在10分钟后关机。 6 实验总结 总结管理用户和组的命令有哪些?各有什么作用?
统一用户及权限管理系统概要设计说 明书
统一用户及权限管理系统 概要设计说明书 执笔人:K1273-5班涂瑞 1.引言 1.1编写目的 在推进和发展电子政务建设的进程中,需要经过统一规划和设计,开发建设一套统一的授权管理和用户统一的身份管理及单点认证支撑平台。利用此支撑平台能够实现用户一次登录、网内通用,避免多次登录到多个应用的情况。另外,能够对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理,实现多层次统一授权,审计各种权限的使用情况,防止信息共享后的权限滥用,规范今后的应用系统的建设。 本文档旨在依据此构想为开发人员提出一个设计理念,解决在电子政务整合中遇到的一些问题。 1.2项目背景 随着信息化建设的推进,各区县的信息化水平正在不断提升。截至当前,在各区县的信息化环境中已经建设了众多的应用系统并投入日常的办公使用,这些应用系统已经成为电子政务的重要组成部分。 各区县的信息体系中的现存应用系统是由不同的开发商在不同的时期采用不同的技术建设的,如:邮件系统、政府内
部办公系统、公文管理系统、呼叫系统、GIS系统等。这些应用系统中,大多数都有自成一体的用户管理、授权及认证系统,同一用户在进入不同的应用系统时都需要使用属于该系统的不同账号去访问不同的应用系统,这种操作方式不但为用户的使用带来许多不便,更重要的是降低了电子政务体系的可管理性和安全性。 与此同时,各区县正在不断建设新的应用系统,以进一步提高信息化的程度和电子政务的水平。这些新建的应用系统也存在用户认证、管理和授权的问题。 1.3定义 1.3.1 专门术语 数据字典:对数据的数据项、数据结构、数据流、数据存储、处理逻辑、外部实体等进行定义和描述,其目的是对数据流程图中的各个元素做出详细的说明。 数据流图:从数据传递和加工角度,以图形方式来表示系统的逻辑功能、数据在系统内部的逻辑流向和逻辑变换过程,是结构化系统分析方法的主要表示工具及用于表示软件模型的一种图示方法。 性能需求:系统必须满足的定时约束或容量约束。 功能需求:系统必须为任务提出者提供的服务。 接口需求:应用系统与她的环境通信的格式。 约束:在设计或实现应用系统时应遵守的限制条件,这些
信息系统用户及口令管理办法 第一章总则 第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行及所辖分、支行。 第四条定义 (一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。 (二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。 (三)生产系统:包括生产业务系统和管理信息系统。 (四)开发环境:指我行所有进行开发的系统环境。 (五)测试环境:指我行所有进行测试的系统环境。 (六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。 (七)数据库管理员:我行科技信息部各系统的数据库管理人员。 (八)应用系统管理员:我行科技信息部各系统的应用维护人员。 (九)测试人员:我行各测试系统的测试人员。 (十)开发人员:我行各应用系统的开发人员。 第五条遵循原则 (一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。 (二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。 (四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。 (五)职责不相容原则:对不相容职责进行岗位分离。 (六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。 第二章用户管理要求 第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。 第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。以下职责互相不相容,且应由不同人员担任: (一)系统开发 (二)测试 (三)系统运行维护管理 (四)系统安全检查 第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。 第九条禁止开发人员在正常情况下进入生产系统。只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
用户权限管理制度 1、为了适应网络管理的需要,明确网络操作权限,确保网络安全稳定的运行,特制定本制度; 2、网络使用和征管软件的用户权限设置由各单位的网络管理员负责,其他任何人不得进行权限设置; 3、必须对服务器超级用户Administrator和数据库超级用户Sa 进行密码设置,以防止非授权用户对网络和数据库进行非法操作; 4、设置密码长度必须大于8位,必须由字母和数字混合组成,并按季度定期更改; 5、建立密码登记卡,记载密码的变更情况,密码登记卡由网络管理员在每次更改密码后认真填写更改记录并将其封存好,交由办公室放入金库内保存,以防止密码遗忘造成损失; 6、如发生上级网络管理人员需要超级用户权限对网络和数据库进行操作的情况,网络管理人员必须对此操作进行详细记录,并在操作后及时更改超级用户密码; 7、税收征管软件的用户权限必须由各单位的网络管理员设置,用户必须使用自己的用户名登录软件,程序将按用户登录名记载用户所做的操作,并以此确定责任。每个用户必须自己输入和保管密码,如密码泄密,造成冒名登录的,责任由用户自负; 8、在征管软件的使用中,网络管理员本人要建立自己的管理用户名,并赋予包括“系统维护”在内的全部控制权限,其他用户一
律不再赋予“系统维护”权限; 9、网络管理员在建立征管软件管理用户名后,要将0000000用户在系统维护中删除,0000000用户由市局保留使用,管理用户的密码设置和保存比照超级用户密码进行管理; 10、网络管理员要严格执行本制度的规定,做好权限设置和密码保密工作,如因工作失职使密码泄密,造成权限失控、数据遗失等严重后果的,其责任由网络管理员自负。 11、本制度从发布之日起执行。 二〇〇二年五月一日
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
配置管理系统(北大软件 010 - 61137666) 配置管理系统,采用基于构件等先进思想和技术,支持软件全生命周期的资源管理需求,确保软件工作产品的完整性、可追溯性。 配置管理系统支持对软件的配置标识、变更控制、状态纪实、配置审核、产品发布管理等功能,实现核心知识产权的积累和开发成果的复用。 1.1.1 组成结构(北大软件 010 - 61137666) 配置管理系统支持建立和维护三库:开发库、受控库、产品库。 根据企业安全管理策略设定分级控制方式,支持建立多级库,并建立相关控制关系;每级可设置若干个库;配置库可集中部署或分布式部署,即多库可以部署在一台服务器上,也可以部署在单独的多个服务器上。 1. 典型的三库管理,支持独立设置产品库、受控库、开发库,如下图所示。 图表1三库结构 2. 典型的四库管理,支持独立设置部门开发库、部门受控库、所级受控库、所级产品库等,如下图所示。
图表2四级库结构配置管理各库功能描述如下:
以“三库”结构为例,系统覆盖配置管理计划、配置标识、基线建立、入库、产品交付、配置变更、配置审核等环节,其演进及控制关系如下图。 图表3 配置管理工作流程 1.1.2主要特点(北大软件010 - 61137666) 3.独立灵活的多级库配置 支持国军标要求的独立设置产品库、受控库、开发库的要求,满足对配置资源的分级控制要求,支持软件开发库、受控库和产品库三库的独立管理,实现对受控库和产品库的入库、出库、变更控制和版本管理。
系统具有三库无限级联合与分布部署特性,可根据企业管理策略建立多控制级别的配置库,设定每级配置库的数量和上下级库间的控制关系,并支持开发库、受控库和产品库的统一管理。 4.产品生存全过程管理 支持软件配置管理全研发过程的活动和产品控制,即支持“用户严格按照配置管理计划实施配置管理—基于配置库的实际状况客观报告配置状态”的全过程的活动。 5.灵活的流程定制 可根据用户实际情况定制流程及表单。 6.支持线上线下审批方式 支持配置控制表单的网上在线审批(网上流转审批)和网下脱机审批两种工作模式,两种模式可以在同一项目中由配置管理人员根据实际情况灵活选用。 7.文档管理功能 实现软件文档的全生命周期管理,包括创建、审签、归档、发布、打印、作废等,能够按照项目策划的软件文档清单和归档计划实施自动检查,并产生定期报表。 8.丰富的统计查询功能,支持过程的测量和监控 支持相关人员对配置管理状态的查询和追溯。能够为领导层的管理和决策提供准确一致的决策支持信息,包括配置项和基线提交偏差情况、基线状态、一致性关系、产品出入库状况、变更状况、问题追踪、配置记实、配置审核的等重要信息; 9.配置库资源的安全控制 1)系统采用三员管理机制,分权管理系统的用户管理、权限分配、系统操 作日志管理。 2)系统基于角色的授权机制,支持权限最小化的策略; 3)系统可采用多种数据备份机制,提高系统的数据的抗毁性。 10.支持并行开发 系统采用文件共享锁机制实现多人对相同配置资源的并行开发控制。在系统共享文件修改控制机制的基础上,采用三种配置资源锁以实现对并行开发的
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
实现业务系统中的用户权限管理--设计篇 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便 的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致 的人员编入同一组,然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套 管理系统,就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统 之间,功能权限是可以重用的,而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。 我们先来分析一下数据库结构: 首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
软件配置管理计划(SCMP) 说明 《软件配置管理计划》(SCMP)说明在项目中如何实现配置管理。 软件配置管理计划的正本格式如下: 1引言 本章应分成以下几条。 1.1标识 本条应包含本文档适用的系统和软件的完整标识,(若适用)包括标识号、标题、缩略词语、版本号、发行号。 1.2系统概述 本条应简述本文档适用的系统和软件的用途。它应描述系统与软件的一般性质;概述系统开发、运行和维护的历史;标识项目的投资方、需方、用户、开发方和支持机构;标识当前和计划的运行现场;并列出其他有关文档。 1.3文档概述 本条应概括本文档的用途与内容,并描述与其使用有关的保密性与私密性要求。 1.4组织和职责 描述软件配置管理(SCM)负责人和软件配置控制委员会(SCCB)的组成以及他们在项目中的职责和权限;说明与项目配置管理相关的人员,如项目经理、部门SCM组长的职责;描述以上人员之间的关系。 为了能够清晰的表述,可选用图表的方式进行说明。 1.5资源 描述项目配置管理活动所需的各种资源,包括人员、培训、工具、设备、设施等等。其中人员是指人力成本,它是根据项目开发计划中的总工时计算得出的。 2引用文件 本章应列出本文档引用的所有文档的编号、标题、修订版本和日期。本章还应标识不能通过正常的供货渠道获得的所有文档的来源。 3管理 描述负责软件配置管理的机构、任务、职责及其有关的接口控制。 3.1机构 描述在各阶段中负责软件配置管理的机构。描述的内容如下: a.描述在软件生存周期各阶段中软件配置管理的功能和负责软件配置管理的机构; b.说明项目和子项目与其他有关项目之间的关系; c.指出在软件生存周期各阶段中的软件开发或维护机构与配置控制委员会的相互关系。 3.2任务 描述在软件生存周期各阶段中的配置管理任务以及要进行的评审和检查工作,并指出各个阶段的阶段产品应存放在哪一类软件库中(软件开发库、软件受控库或软件产品库)。 3.3职责 描述与软件配置管理有关的各类机构或成员的职责,并指出这些机构或成员相互之间的关系: a.指出负责各项软件配置管理任务(如配置标识、配置控制、配置状态记录以及配置的评审与检查)的机构的职责; b.指出上述机构与软件质量保证机构、软件开发单位、项目承办单位、项目委托单位以及用户等机构的关系; c.说明由本计划第3.2条指明的生存周期各阶段的评审、检查和审批过程中的用户职
1)用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: 输入useradd -d /home/user01 user01 输入ls /home 查看是否已经建立user01的主目录 ●查看/etc/passwd文件的最后一行: 输入tail -1 /etc/passwd 显示user01:x:501:501::/home/user01:/bin/bash ●查看/etc/shadow文件的最后一行: 输入t ail -1 /etc/shadow 显示user01:!!:15046:0:99999:7::: ●给用户user01设置密码口令: [root@localhost ~]# passwd user01 Changing password for user user01. New UNIX password: 注意比较不同BAD PASSWORD: it is too simplistic/systematic Retype new UNIX password: passwd: all authentication tokens updated successfully. ●查看/etc/shadow的最后一行有什么变化: [root@localhost ~]# tail -1 /etc/shadow user01:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: [root@localhost ~]# passwd -l user01 //锁定用户user01 Locking password for user user01. passwd: Success [root@localhost ~]# tail -1 /etc/shadow user01:!!$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: //密码域前多了!! [root@localhost ~]# passwd -u user01 //解除对user01的锁定禁用 Unlocking password for user user01. passwd: Success. [root@localhost ~]# usermod -l user02 user01 //更改用户user01的账户 名为user02 [root@localhost ~]# tail -1 /etc/passwd user02:x:501:501::/home/user01:/bin/bash [root@localhost ~]# tail -1 /etc/shadow user02:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: [root@localhost ~]# userdel user02 //删除user02,如果加上-r选项会一 并删除用户主目录 [root@localhost ~]# ls /home hetaoboy user01 //因为使用userdel 命令没有使用-r选项,所以主目录仍然存在 [root@localhost ~]# tail -1 /etc/group user01:x:501: //考察组文件,发现主组账户依然存在,名称不变 [root@localhost ~]# tail -1 /etc/gshadow
实验五、用户管理和权限管理 一、实验目的 1、掌握对系统用户和组的建立与管理。 2、掌握linux的文件访问权限和访问权限类型。 3、掌握如何设置文件访问权限。 二、实验重点与难点 1、学会使用useradd、usermod和userdel命令 2、学会使用chmod设置文件权限 三、实验内容及步骤 1)查看/etc/passwd文件和/etc/shadow文件内容,识别该文件中记录的信 息内容。 2)使用YaST创建新用户user1和用户组group1,将用户user1加入到组 group1。 3)用useradd命令建立2个用户admin和geeko(注意要求创建用户主目 录),设定好对应的用户密码,再用groupadd命令建立一个用户组school。 4)使用命令将admin用户改名为administrator。 5)使用命令将administrator账户锁定,然后再使用该账户登录系统,观 察会发生什么?然后再将账号解除锁定。 6)将linux系统注销使用geeko账号登录,在geeko的主目录下创建两个 新的文件K1,K2。在/tmp目录下创建两个文件W1,W2。 7)删除geeko账号及其主目录。并尝试删除所有属于geeko用户的文件。 8)在/tmp目录中创建两个新文件newfile,test,将newfile文件访问权限 设置为rwxrw-rw-,test文件访问权限设置为rwxr--r-- 。 9)使用su命令将用户身份切换至administrator,将“I can read and write”写入newfile文件中,并保存。是否可以对test文件进行编辑? 10)如果要实现其他用户对test文件的编辑权限,应该如何设置该文件的 权限?写出操作的命令。 11)创建一个目录directory,将目录访问权限设置为rwxrwxrw-。
实验5 用户管理与密码管理 一实验目的 (1) 熟悉Linux系统的用户和组的概念。 (2) 掌握常见的用户和组的配置文件修改。 (3) 掌握用户和组以及密码的管理命令。 (4) 熟悉用户和位置的其他管理命令。 二实验要求 (1) 熟练掌握用户和组的配置文件修改的方法。 (2) 重点掌握户和组的管理命令以及相关命令。 三实验内容 (1) 练习用户和组的配置文件修改。 (2) 练习在图形界面管理用户和组以及密码。 (3) 练习使用用户、组、密码管理命令。 (4) 练习使用用户和位置的其他相关管理命令。 四实验步骤: 启动虚拟机,加载Rad Hat Linux9.0操作系统,登录后按照课本第四章教程的指导,练习使用下述命令。可以参教材P383第4章内容。 (1)打开管理用户和组/密码的图形界面并熟悉其使用方法。(4.4) (2)使用编辑命令vi查看并修改/etc/passwd和/etc/shadow和/etc/group等相关用 户管理文件。(4.2) (3)练习使用用户管理的命令:useradd(增加用户)、userdel(删除用户)、 usermod(修改用户)。(4.3) (4)练习使用组管理的命令:groupadd(增加组)、groupdel(删除组)、 groupmod(修改组)。(4.3) (5)练习使用密码管理的命令:passwd,掌握密码的锁定、解索、删除、修改等 操作。(4.3) (6)练习使用用户和位置的其他相关管理命令:(4.5) 1)使用who命令查询已登陆用户的信息。 2)使用id命令查询用户和组的相关信息。 3)使用whoami命令查询当前有效用户id和其相关的用户名。 4)使用tty命令查询当前用户使用的终端设备。 5)使用su命令切换当前用户到其他用户(不退出系统的前提下)。 6)使用gpasswd进行组密码管理。 7)使用grpck进行组内容检查。 8)使用newgrp命令修改用户组(不退出系统的前提下) 9)使用wall命令向系统中登陆的用户发信息。 五实验结果:
本地用户和组的管理 (以下操作均在Windows Server 2003系统中实现,在客户端操作系统XP中部份操作可能会有所不同) 一、概述 和win95/98等操作系统不同,2000/XP/2003等操作系统是区分用户的。每个用户有自己独立的工作环境,相互独立;用户可以保存自己的文档而不用担心会被其他用户查看;还可以分别为每个用户设置不同的访问资源的权限等。 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便对用户受予对资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、“本地用户和组”管理工具 要创建本地帐户,需要使用“本地用户和组”管理工具。此工具包含在“计算机管理”工具里,也可以从MMC控制台添加。 1、要打开“计算机管理”工具,右击“我的电脑”,在快捷菜单中选择“管理”
打开的“计算机管理”工具如下图所示。 2、要使用MMC控制台,请在“运行”里输入“mmc”,打开MMC控制台
在MMC控制台“文件”菜单中选择“添加/删除管理单元” 在弹出的“添加/删除管理单元”对话框中选择“添加”
在“添加独立管理单元”对话框中,找到“本地用户和组”,按“添加”
在“选择目标机器”对话框中,选择“本地计算机”,点击“完成” 分别点击“关闭”和“确定”按钮退出“添加管理单元”的对话框,现在已经在MMC控制台中添加了“本地用户和组”管理单元了。 三、创建本地用户 双击“本地用户和组”管理单元,打开“用户”和“组”两个子项
文件编号: 统一用户及权限管理平台 解决方案及设计报告 版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________
目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义 (1) 1.4参考资料 (1) 第二章统一权限管理解决方案 (2) 2.1需求分析 (2) 2.2系统架构 (3) 2.3系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1组织机构管理 (8) 3.2用户管理.......................................................................................................... 错误!未定义书签。 3.3应用系统管理、应用系统权限配置管理 (9) 3.4角色管理 (8) 3.5角色权限分配 (9) 3.6用户权限(角色)分配 (9) 3.7用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1概述 (10) 4.2接口详细描述 (10) 4.2.1获取用户完整信息 (14) 4.2.2获取用户拥有的功能模块的完整信息 (15) 4.2.3获取用户拥有的一级功能模块 (16) 4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17) 4.2.5获取用户拥有的某一末级功能模块的操作列表 (19) 4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20) 4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)
深信服用户管理以及流量管理配置教程 新增用户组 登陆设备后点击左边的“导航菜单” “用户与策略管 理” “组/用户” 在右边会出现设备的用户组织结构,这里出现了 default 、公司领导、普通员工、服务器和网络管理中 心五个用户组。其中default 用户组是系统默认存在的, 其它四个是通过以下方法增加的。 如下图所示,点击右边的“成员管理” “新增” 5 也网踣曽理中壯 选择“组”选项,就会出现如下界面 SANGFOR I 心口 导菜单 ? b 对尊定袈 >上网荒略 /用户管理 卜组/用戶 用尸辱人 LDAF 自动同步 丿用尸认证 认证谑顼 外部认证服备器 悽索;输丄关龍字模翔攫素涓 ^default 熨公司鞍 导 记普逼员工 也网貉昔理中心 点击这里增 加新用户组 纽曙徑: 描述宿息: 鈕信息; 策略引用: 子组牛數:h 直J 横有策略 4 直服雰蛊 爼织嬴員及上网策略设置 r*fc 田口 約用L 新増▼ X 删底 #批垦會
需in组 在“组名列表”种输入工作组的名称点击“提交”即可。 公司领导、普通员工、服务器和网络管理中心四个用户组都 是这样添加进去的。 二、在用户组中添加用户 如下图所示,以在“网络管理中心”用户组增加新用户为例,点击“网络管理中心”用户组,右边会列出该用户组中的所有用户,点击“成员管理”“新增”“用户”
出现如下图界面,其中在“启用此用户”那里打钩,这里的 策略是用IP 地址作为用户名,在“显示名”那里填写了显 示名后,该显示名会附加出现在登陆名后 SANGFOR I Aca.D 搜亲:辐I 实键孚模釉援索爼 ^defauLt 旦公司 颉导 记普il 最工 題服务器 展隔管强中石 爼跖径: 齟信息: 策曙引鹅: 『网络管理中心 子飽个数:0 - 毂:育策喀 J 成员笞逢 策略列表 1+新— x 删除豪扌比 点击这里新 增用户 92 125 92.13 爭用尸 冶 W.此一凸2 一 147 務组
广东科学技术职业学院 计算机工程技术学院(软件学院) 实验报告 专业网络技术班级成绩评定______ 学号姓名 (合作者____号____) 教师签名廖建飞实验 3 题目用户和组的管理 第周星期第节 一、实验目的与要求 1、掌握并熟悉用户和组的使用方法 2、掌握浏览目录类命令 二、实验步骤 项目一、用户的管理(在字符界面完成) ●创建一个新用户user01,设置其主目录为/home/user01: #useradd –d /home/user01 user01 ●查看/etc/passwd文件的最后一行,看看是如何记录的。 #tail -1 /etc/passwd ●查看文件/etc/shadow文件的最后一行,看看是如何记录的。 #tail -1 /etc/shadow ●给用户user01设置密码: #passwd user01 ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 #tail -1 /etc/shadow ●使用user01用户登录系统,看能否登录成功。 ●锁定用户user01: #passwd –l user01 #usermod –L user01 ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 #tail -1 /etc/shadow
●再次使用user01用户登录系统,看能否登录成功。 ●解除对用户user01的锁定: #passwd –u user01 #usermod –U user01 ●更改用户user01的帐户名为user #usermod –l user user01 ●查看/etc/passwd文件的最后一行,看看有什么变化。 #tail -1 /etc/passwd ●删除用户user。 #userdel user 项目二、组的管理(在字符界面完成) ●创建一个新组,network: #groupadd network ●查看/etc/group文件的最后一行,看看是如何设置的。 #tail -1 /etc/group ●创建一个新帐户user02,并把他的起始组和附属组都设为network #useradd –g network –G network user02 ●查看/etc/group文件中的最后一行,看看有什么变化。 #tail -1 /etc/group ●给组network设置组密码: #gpasswd network ●在组network中删除用户user02 #gpasswd –d user02 network ●再次查看/etc/group文件中的最后一行,看看有什么变化。 #tail -1 /etc/group ●删除用户user02
用户账号和密码安全管理规范 V 1.0
目录 概述 (3) 适用范围 (4) 用户帐号的分类 (5) 用户帐号的创建 (6) 用户帐号创建流程 (6) 用户帐号创建的安全事宜 (6) 密码设置标准和最小强度规定 (8) 密码设置标准 (8) 密码最小强度规定 (8) 用户帐号和密码的保护 (10) 用户帐号和密码的管理 (12) 用户密码的变更 (12) 用户帐号的禁止 (12) 用户帐号的删除 (12) 用户帐号和密码管理制度的实施 (14) 实施工作流程 (14) 更新维护要求 (14) 奖励和处罚 (15) 参考文献 (16)
概述 用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码” 的用户身份验证机制上。因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。 本管理制度的主要作用在于对**用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。 本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述: ?用户帐号的分类 根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。 ?用户帐号的创建 规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。 密码的设置标准和最小强度要求 规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。 ?用户帐号和密码保护 规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。 ?用户帐号和密码的管理 规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。 ?用户帐号和密码管理制度的实施 规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。
【实验目的】 1、理解域的概念,掌握AD的安装方法。 2、掌握加入和退出域的方法。 3、掌握域用户的管理和配置,组的规划和建立。 4、了解Windows Server 2003域用户和本地用户的区别。 5、理解组的概念和作用,认识组的类型。 【实验内容】 1、练习AD的安装方法, 2、练习加入和退出域的方法。 3、练习域用户的管理和配置,组的规划和建立 【实验器材】 两台PC,一台作为域控制器DC(PC1),另一台客户机(PC2)需要加入到域中。 【实验步骤】 一、安装活动目录 1、将要作为控制器DC的PC上运行DCPromo。单击[下一步]。 2、由于所建立的是域中的第一台域控制器,所以选择[新域的域控制器]单击[下一 步]。 3、选择[创建一个新域的域目录树],单击[下一步]。 4、选择[创建一个新域的域目录林],单击[下一步]。 5、在[新域DNS全名]中输入要创建的域名tlpt+学号后两位.com(如学号2,DNS全名为tlpt02),单击[下一步]。 6、安装向导自动将域名控制器的NetBIOS名设置为“tlpt+学号后两位”,单击[下 一步]。 7、显示数据库、目录文件及 Sysvol文件的保存位置,一般不必做做修改,单击[下 一步]。 8、配置DNS服务器,单击[下一步];如果在安装 Active Directory之前未配置DNS 服务器可以在此让安装向导配置DNS,推荐使用这种方法。 9、为用户和组选择默认权限;单击[下一步] 10、输入以目录恢复模式下的管理员密码,单击[下一步]。 11、安装向导显示摘要信息,单击[下一步]。 12、安装完成,重新启动计算机。 13、设置DNS。(由于在AD配置过程中,默认把本机IP作为DNS的IP,所以我们在DNS服务器中要填写上本机IP)。 14、进入系统后,右键单击“我的电脑”,在“计算机名”栏能看到完整的计算机域名。