Studieren in Chemnitz. Wissen, was gut ist.






  • Anmelden

Nutzerverwaltung

Mobile Geräte werden oftmals nur von einer Person genutzt. Insofern liegt die Vermutung nahe, dass man auf eine Nutzerverwaltung komplett verzichten könnte. Das Gegenteil jedoch ist der Fall

  • reguläre Arbeit immer ohne Administrator-Privilegien
    • mindert Auswirkungen von Fehlbedienungen
    • hindert Malware an der Ausbreitung
  • Zugangsbeschränkungen
  • oftmals doch mehrere Benutzer
    • dienstlich: Kollegen
    • privat: Familie
  • Zugriff auf verteilte Dateisysteme (Interpretation von numerischen IDs - UID/GID)
  • Datenaustausch

Allgemeine Hinweise

ALERT! nur lokale Loginkennzeichen (NKZ) verwenden!
ALERT! Loginkennzeichen sollen keine administrativen Befugnisse haben!

  • für jeden zugelassenen Nutzer ein individuelles NKZ entsprechend des URZ-Loginkennzeichen anlegen mit identischen NKZ, Nutzer-ID und Gruppen-ID
  • spezielles Loginkennzeichen mit ADMIN-Rechten: root
  • evtl. spezielles Loginkennzeichen, das gemeinsam genutzt werden kann: work

TIP bei URZ-Notebooks werden lokale Loginkennzeichen für alle URZ-Mitarbeiter eingerichtet (deaktiviert)

HELP Bei den Loginkennzeichen und Homeverzeichnissen handelt es sich um lokale (gerätebezogene) Konfigurationen. Bitte unbedingt beachten:

  • Vor Erstbenutzung müssen die Notebook-Loginkennzeichen aktiviert werden, d.h. der Nutzer kann sich ein Passwort setzen (in Zusammenarbeit mit Funktionsadmin)
  • Passwortänderungen an zentraler Stelle haben keine Auswirkungen auf die Notebook-Loginkennzeichen
  • Homeverzeichnisse befinden sich auf lokalen Ressourcen, Datensicherung muss vom Nutzer selbst organisiert werden

Nutzerverwaltung (Linux Fedora-Core)

Nutzer einrichten mit Bordmitteln

  • grafische Tools (kuser, system-config-user)
  • Kommando (useradd, userdel, groupadd, ...)
  • ggf. User- und GroupID übernehmen 
$ id -ru     # liefert UID
$ id -rg     # liefert GID
  • Bei erstmaliger Übergabe des Notebooks an einen Nutzer durch den Funktionsadmin (root) wird das Nutzer-Passwort durch den Nutzer festgelegt 
# passwd <nkz>

Variante: HOME-Verzeichnis beim ersten Anmelden erstellen

  • Nutzer ohne HOME-Verzeichnis einrichten
  • PAM-Modul pam_mkhomedir.so verwenden 
# useradd -g <gid> -u <uid> -M <nkz>
# tail -1 /etc/pam.d/system-auth
session     required      /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel silent

Ausführen von Programmen mit root-Rechten (sudo)

  • sudo -Mechanismus bietet die Möglichkeit, dedizierte Programme mit root-Rechten starten zu können, ohne das root-Passwort weiterzugeben 
# /usr/sbin/visudo

User_Alias      FU_USER = ddi, ewe, jwin, wri, anhe
User_Alias      FU_ADMIN = wri, anhe

FU_USER         ALL = /sbin/halt, /sbin/shutdown
FU_USER         ALL = /bin/rpm, /usr/bin/yum
FU_USER         ALL = NOPASSWD: /usr/sbin/vpnc, /usr/sbin/vpnc-disconnect
FU_ADMIN        ALL = (ALL)     NOPASSWD: ALL

  • Ausführen von Programmen mit root-Rechten, sudo -Kommando davorsetzen
  • je nach sudo -Konfiguration ist das Passwort des Nutzer erforderlich 
$ sudo /sbin/halt
Password:

Nutzerverwaltung (Windows XP WXP_5.1_X86, Windows Vista Windows Vista)

Nutzer einrichten mit Bordmitteln

  • grafische Tools (Nutzer- und Gruppenverwaltung: Start -> Systemsteuerung -> Verwaltung -> Computerverwaltung)
  • Kommando (net user, net localgroup ) 

> net user <nkz> /add /ACTIVE:NO [/EXPIRES:NEVER] [/FULLNAME:"Vor Zuname"] 
                      [/PASSWORDCHG:YES] [/PASSWORDREQ:YES] [/SCRIPTPATH:"login.cmd"]
> net localgroup <group> <nkz> /add

  • Bei erstmaliger Übergabe des Notebooks an einen Nutzer durch den Funktionsadmin (administrator) wird der Account aktiviert und das Nutzer-Passwort durch den Nutzer festgelegt 

> net user nkz * /active:yes

Variante: Nutzerverwaltung und Authentifizierung mit pGina

Das pGina-Projekt stellt eine pluginorientierte Schnittstelle für die Authentifizierung gegenüber Windowssystemen zur Verfügung (zzt. nicht für Windows Vista). Als Authentifizierungsplugin wird das Krb5Plugin empfohlen. Das Plugin basiert auf dem MIT KfW-Projekt.

Das Krb5Plugin benötigt zusätzliche Bibliotheken, welche mit der Installation von OpenAFS verfügbar sind.

Installieren von pGina

  1. Downloaden Sie zunächst das aktuelle pGina-Paket vom pGina-Projekt (zip-Archiv)
  2. Entpacken der Downloadquelle und starten des pGina-Installers
  3. Folgen Sie den Anweisungen des Installers
  4. Nach erfolgreicher Installation startet das pGina-Konfigurationswerkzeug, folgen Sie jetzt den Hinweisen zur Installation des Krb5Plugins

Installieren des Krb5Plugins

  1. Downloaden Sie das Krb5Plugin (zip-Archiv)
  2. Entpacken der Downloadquelle:
  3. Kopieren Sie die Datei Krb5Plugin.dll in das Pluginverzeichnis unter dem pGina-Installationsverzeichnis
  4. Kopieren Sie die Bibliotheken comerr32.dll, k5sprt32.dll, krb5_32.dll und die Kerberoskonfiguration (TU-CHEMNITZ.DE) krb5.ini in das Windows-Verzeichnis (C:\Windows).

Konfiguration von pGina

  1. Voraussetzung ist die Installaton des Krb5Plugins
  2. Wählen Sie für den Pluginpfad den Pfad zur Krb5Plugin.dll aus
  3. Mit dem Knopf Konfigurieren sollte der Konfigurationsdialog des Krb5Plugins erscheinen, welcher Keine Einstellungen hat
  4. Stellen Sie Konfigurationsparameter nach den Anforderungen entsprechend ein:
    • Empfehlungen:
      • Tab Benutzerkonten > Gruppen: Benutzer
      • Tab Erweiterte Einstellungen -> Passwörter bei der Abmeldung verschlüsseln darf NICHT aktiviert werden, sonst funktioniert der Offline-Modus nicht!
      • Tab Erweiterte Einstellungen -> Benutzerkonto läuft niemals ab: aktivieren, da sonst die Passworte standardmäßig nach 42 Tagen verfallen!

Neue Benutzer können sich nur im Online-Modus (Gerät mit Verbindung zum Campusnetz) registrieren.
Im Offline-Modus werden einmal registrierte Benutzer lokal angemeldet. Timeout bei der Suche der Authentifizierungsserver beachten.

Krb5Plugins-Source