Les administrateurs système Linux sont confrontés à de nombreux défis, et l'un de ceux en cours concerne les comptes d'utilisateurs. L'intégration, la désactivation, la gestion des mots de passe, la désactivation des comptes, l'activation des comptes, la préservation du contenu du répertoire personnel et la correction des autorisations sont des tâches qui doivent être effectuées mais qui sont également fastidieuses à effectuer. Cet article vous propose une solution rapide pour gérer les comptes d'utilisateurs sur les systèmes locaux. Bien sûr, il existe Active Directory, LDAP et NIS+, mais que se passe-t-il si vous êtes comme beaucoup d'entre nous qui ne les utilisent pas ? Vous devez compter sur des méthodes natives pour gérer le travail.
Croyez-le ou non, vous n'avez besoin que de quelques commandes pour gérer l'essentiel de vos tâches de gestion des utilisateurs. Par exemple, vous utilisez le passwd pour définir et modifier les mots de passe, mais elle est également utilisée pour vérifier l'état d'un compte utilisateur, faire expirer un mot de passe, définir les durées de vie minimale et maximale du mot de passe, désactiver un compte utilisateur et activer un compte utilisateur.
Créer des comptes utilisateur
Le useradd command est votre ami en ligne de commande pour créer des comptes d'utilisateurs. Un man rapide useradd vous offre toutes les options dont vous pourriez rêver. Je n'utilise généralement qu'une seule option, qui est -c (commentaire), pour saisir le nom complet de l'utilisateur. Vous pouvez également définir le mot de passe et d'autres paramètres, mais je ne le fais pas car chaque compte est différent. Je crée le compte, définit le mot de passe, définit les autres options, puis contacte l'utilisateur pour l'informer que son compte est prêt.
La syntaxe est simple :
$ useradd -c "User's Full Name" account_name
$ sudo useradd -c "Mary Jones" mjones$
passwd mjones
Changing password for user mjones.
New password:
Retype new password:
passwd: all authentication tokens updated successfully. Si vous utilisez des mots de passe génériques faciles à saisir pour les nouveaux utilisateurs, vous recevrez un message vous avertissant que votre mot de passe ne répond pas aux exigences standard. Puisque vous êtes l'utilisateur root, vous pouvez contourner cette erreur, mais les utilisateurs normaux ne le peuvent pas :
$ passwd mjones
Changing password for user mjones.
New password:
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password:
passwd: all authentication tokens updated successfully.
C'est tout ce qu'il y a à faire pour créer un nouveau compte utilisateur et lui attribuer un mot de passe. Découvrez quelques passwd commande magique dans la section suivante.
Découvrir le polyvalent passwd commande
Comme indiqué précédemment, le passwd La commande fait plus que simplement changer les mots de passe. C'est l'une des commandes Linux les plus polyvalentes disponibles. Voici quelques exemples utiles de ce que passwd peut faire pour la gestion des utilisateurs.
Pour vérifier l'état d'un compte utilisateur, utilisez ce format.
$ passwd -S account_name Exemple :
$ sudo passwd -S msmith
msmith PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
Le PS signifie que le mot de passe de l'utilisateur msmith est défini, mais vous pouvez également le voir à partir du message affiché. Anciennes versions de passwd n'utilisaient pas les mêmes symboles. Par exemple, la lettre P a été utilisé seul pour définir le mot de passe . La date affichée correspond à la dernière fois que le mot de passe a été modifié ou à la date à laquelle il a été défini.
Si un mot de passe a expiré, vous verrez le message suivant :
$ sudo passwd -S djones
djones PS 1969-12-31 0 99999 7 -1 (Password set, SHA512 crypt.) Vous pouvez voir que le mot de passe a maintenant la dernière date de modification du 1969-12-31. Si vous connaissez l'histoire de Linux ou UNIX, vous reconnaîtrez que le début du monde informatique remonte au 01/01/1970. Par conséquent, définir l'heure de la dernière modification en dehors de l'heure de l'époque expire le mot de passe.
La création d'un nouveau compte utilisateur sans modifier le mot de passe du compte entraîne l'état de mot de passe suivant :
$ sudo passwd -S smithm
smithm LK 2019-11-11 0 99999 7 -1 (Password locked.)
Le LK signifie que le compte est verrouillé, comme le message l'indique. Encore une fois, avant cette dernière version du passwd commande, ce message n'existait pas. En fait, si vous utilisez man passwd , vous verrez également les anciennes désignations :L , NP , et P .
Pour faire expirer un mot de passe :
$ sudo passwd -e msmith
Expiring password for user msmith.
passwd: Success
Une vérification de l'état vérifie le mot de passe expiré pour msmith :
$ sudo passwd -S msmith
msmith PS 1969-12-31 0 99999 7 -1 (Password set, SHA512 crypt.) Une fois qu'un mot de passe a expiré, que ce soit par politique ou en l'expirant manuellement, vous ne pouvez pas le réactiver. Le système demandera à l'utilisateur de changer de mot de passe lors de sa prochaine connexion.
Vous ne pouvez pas non plus déverrouiller un compte sans mot de passe. Si vous créez un nouveau compte utilisateur et ne définissez pas le mot de passe, le compte est verrouillé. Pour le déverrouiller, vous devez définir un mot de passe.
Vous pouvez verrouiller le compte d'un utilisateur en utilisant le passwd -l de la commande option :
$ sudo passwd -S mjones
mjones PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
$ sudo passwd -l mjones
Locking password for user mjones.
passwd: Success
$ sudo passwd -S mjones
mjones LK 2019-11-11 0 99999 7 -1 (Password locked.)
Pour déverrouiller le compte, utilisez le passwd -u de la commande choix :
$ sudo passwd -u mjones
Unlocking password for user mjones.
passwd: Success
$ sudo passwd -S mjones
mjones PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
Utilisez les indicateurs suivants pour définir la durée de vie minimale du mot de passe (-n ), durée de vie maximale du mot de passe (-x ), avertissement avant expiration (-w ), et inactif à désactivé (-i ) en jours pour chacun. L'ordre des options n'a pas d'importance :
$ sudo passwd -n 1 -x 90 -w 3 -i 10 djones
Adjusting aging data for user djones.
passwd: Success
$ sudo passwd -S djones
djones PS 2020-12-31 1 90 3 10 (Password set, SHA512 crypt.)
Il est bon de définir le -n à au moins un jour, car cela empêche un utilisateur de modifier son mot de passe de façon répétitive.
J'espère que vous avez une nouvelle appréciation pour le passwd commande. Si vous ne l'avez jamais utilisé que pour changer les mots de passe, vous avez manqué beaucoup de fonctionnalités et de puissance.
[Vous en voulez plus ? Vous pourriez également être intéressé par l'aide-mémoire sur les utilisateurs Linux et les autorisations.]
Suppression de comptes d'utilisateurs
La suppression de comptes d'utilisateurs est un sujet un peu délicat. La raison pour laquelle c'est un sujet délicat est que la suppression d'un compte d'utilisateur est permanente. Une fois enlevé, c'est parti. En règle générale, la politique des entreprises consiste à désactiver le compte pendant un certain temps, à copier le répertoire personnel de l'utilisateur dans un emplacement sécurisé pour l'archivage, puis, après le temps d'attente, à supprimer le compte.
Lorsque je supprime un compte utilisateur d'un système, toutes les traces disparaissent. Le compte est supprimé de /etc/passwd et le répertoire personnel est également supprimé. Pour effectuer ce changement radical, j'utilise le userdel commande avec le -r option au format :
$ userdel -r account_name Exemple :
$ sudo userdel -r djones
De manière typique sous UNIX et Linux, aucune boîte de dialogue ne vous indique que le compte et toutes les traces de l'utilisateur sont désormais supprimés du système. Après le userdel commande se termine, vous revenez à une invite.
Conclusion
La gestion des comptes d'utilisateurs n'est que l'une des nombreuses joies d'être un administrateur système. Cela peut prendre beaucoup de temps dans les entreprises plus occupées. Cependant, dans les petits environnements, vous pourriez bientôt oublier tous les passwd options de commande et décidez de supprimer les comptes manuellement.
Je vous conseille de conserver cet article dans vos favoris et de ne pas tenter de supprimer des comptes manuellement. Il y a de fortes chances que vous oubliez quelque chose en cours de route. Il y a aussi une chance que vous fassiez un gros doigt sur une commande ou deux et que vous en supprimiez plus que prévu. Le passwd fichier et son /etc/shadow correspondant sont trop importants pour laisser leur modification au hasard, même si vous êtes sûr de l'efficacité de votre clavier.
À emporter : useradd , userdel , passwd
[Vous voulez essayer Red Hat Enterprise Linux ? Téléchargez-le maintenant gratuitement.]