Administration système Linux

Gestion des utilisateurs

Ecole Nationale des Sciences Appliquées - Khouribga

Omar EL BANNAY
Plan

A Concepts de comptes utilisateur et de groupes

B Hiérarchie des utilisateurs

C Groupes

D Comptes utilisateur

E Manipulation des fichiers de configuration

F Gestion graphique des comptes utilisateur

2
Plan

A Concepts de comptes utilisateur et de groupes

B Hiérarchie des utilisateurs

C Groupes

D Comptes utilisateur

E Manipulation des fichiers de configuration

F Gestion graphique des comptes utilisateur

3
A- Concepts de comptes utilisateur et de groupes
Formation
Commercial
Fatima (C)

Ali (T) Khadija (F) Khalid(T)

Amine (C)

Akram (T) Mostafa (T)

Yassin (F)
Amina (A)
Administratif
Technique

Pour identifier tous ces utilisateurs au niveau du système d'exploitation, un numéro unique
leur sera attribué: l'UID (User's ID); le propriétaire d'un fichier est déterminé par ce numéro
sous Unix. Ces utilisateurs seront aussi dotés d'un nom utilisateur unique (login) et d'un mot
de passe (password) pour qu'ils puissent s'authentifier lors de leur connexion au système.
De la même manière, les groupes d'utilisateurs seront représentés par un nom unique auquel
sera associé un identifiant numérique : le GID (Group's ID). Ce dernier sera aussi utilisé
pour déterminer le groupe propriétaire d'un fichier.

Administration système Linux 4 4

Plan

A Concepts de comptes utilisateur et de groupes

B Hiérarchie des utilisateurs

C Groupes

D Comptes utilisateur

E Manipulation des fichiers de configuration

F Gestion graphique des comptes utilisateur

5
 B- Hiérarchie des utilisateurs
Les utilisateurs ne sont pas tous égaux sous Unix. On peut distinguer trois types de comptes :

root : c'est l'utilisateur le plus important du système du point de vue de l'administration,

il n'est concerné par les droits d'accès aux fichiers et peut faire tout sur le système. Son
UID égal à 0 lui confère sa spécificité. Ce "superutilisateur" aura donc à sa charge les
taches d'administration du système.

bin, daemon, sync, www-data… : on trouve sur le système toute une série de comptes
qui ne sont pas affectés à des personne physiques. Ceux-ci servent à faciliter la gestion
des droits d'accès de certaines applications et démons. Ainsi, en lançant le serveur Web
sous l'identité du compte www-data, on pourra aisément limiter ses droits d'accès à
certains fichiers. D'une manière générale, on ne lance jamais un service exposé aux
attaques réseau comme un serveur Web sous l'identité de root.

Yassin, Khalid… : tous les autres comptes utilisateur sont associés à des personnes
réelles; leur vocation est de permettre à des utilisateurs standard de se connecter et
d'utiliser les ressources de la machine.
Administration système Linux 6 6
Plan

A Concepts de comptes utilisateur et de groupes

B Hiérarchie des utilisateurs

C Groupes

D Comptes utilisateur

E Manipulation des fichiers de configuration

F Gestion graphique des comptes utilisateur

7
C- Groupes

1. Fichiers de configuration

2. Ajout

3. Suppression

4. Modification

8
C- Groupes

Dans notre exemple, nous pouvons distinguer quatre types d'utilisateurs, soit quatre groupes :
• Amine, Yassin et Amina traitent les documents administratifs de la société et doivent donc y
avoir accès.
• Fatima, Khalidet Amine créent des propositions commerciales.
• Khadija, Khalid, Mostafa et Yassin doivent avoir accès au calendrier des formations.
• Ali, Khadija, Khalid, Akram, Mostafa et Yassin doivent avoir accès aux documents
techniques de la société.

Administration système Linux 9 9

1. Fichiers de configuration
/etc/group
Le fichier de configuration contenant la définition de tous les groupes du système
est /etc/group : root:x:0:
bin:x:1:root,bin,daemon
daemon:x:1:
sys:x:3:
adm:x:4:logcheck
…
lp:x:7:
formation:x:9:
Syntaxiquement :
nom : mot de passe :GID :liste des utilisateurs
Les quatre champs séparés par le caractère ":" sont :
• Le nom du groupe : celui-ci doit être unique
• le mot de passe associé à ce groupe : le x présent ici signifie que le système met en
œuvre le masquage des mots de passe en les déplaçant dans des fichiers annexes.
• le GID : cette valeur est utilisée pour déterminer les droits d'accès aux fichiers.
• la liste des membres de ce groupe : on trouve ici tous les noms des comptes utilisateur
ayant ce groupe en groupe secondaire.
Administration système Linux Groupes 10 10
1. Fichiers de configuration
/etc/gshadow
Un seconde fichier de configuration a été introduit par l'utilisation des mots de
passe masqués /etc/group :
root:*: :
bin:*: :
daemon:*: :
sys:*: :
adm:x:4:logcheck
…
logcheck:!: :
formation:!: :

• Le nom du groupe : il permet de faire le lien entre ce fichier et /etc/group.

• le mot de passe : on trouve ici le mot de passe crypté associé au groupe.
• l'administrateur du groupe : ce champ contient le nom de l'utilisateur (en plus de root)
qui a le droit d'ajouter ou de supprimer des membres à ce groupe et de modifier le mot
de passe. Si ce champ est vide, seul le superutilisateur aura ces droits
• la liste des membres de ce groupe : tous les noms des comptes utilisateur ayant ce
groupe en groupe secondaire sont renseignés ici.
Administration système Linux Groupes 11 11
2. Ajout
Pour ajouter un groupe, on utilisera la commande groupadd. Si on ne spécifie pas le
GID du niveau group avec l'option –g, celui-ci sera le plus petit GID supérieur à la valeur
GID_MIN définie dans /etc/login.defs
[root]# groupadd technique
[root]# groupadd commercial
[root]# groupadd -g 1020 ensak
[root]# groupadd administration

Le fichier /etc/group ressemble maintenant à : Et le fichier /etc/gshadow :

root:x:0: root:*: :
bin:x:1:root,bin,daemon bin:*: :
daemon:x:1: daemon:*: :
sys:x:3: sys:*: :
… …
formation:x:1001: formation:!: :
technique:x:1002: technique:!: :
commercial:x:1003: commercial:!: :
ensa:x:1020: ensa:!: :
Administration:x:1021: administration:!: :
Administration système Linux Groupes 12 12
3. Suppression

Pour supprimer le groupe commercial par exemple, on utilise la commande groupdel.

Cette commande ne fonctionne pas si le groupe à supprimer est le groupe principal d'un
utilisateur:

[root]# groupdel commercial

[root]# groupde ensak
groupdel: impossible d'enlever l'utilisateur de son groupe primaire.

Administration système Linux Groupes 13 13

4. Modification

groupmod [-g GID [-o]] [-n <nouveau nom> ] <nom du groupe>

-g GID modifie le GID du groupe, qui doit être unique

sauf si l’option –o est précisé

-n <nouveau nom> change le nom du groupe

[root]# groupmod –g 1004 administration

[root]# groupmod –n GI ensak

Administration système Linux Groupes 14 14

Plan

A Concepts de comptes utilisateur et de groupes

B Hiérarchie des utilisateurs

C Groupes

D Comptes utilisateur

E Manipulation des fichiers de configuration

F Gestion graphique des comptes utilisateur

15
D- Comptes utilisateur

1. Fichiers de configuration

2. Ajout

3. Changement de mot de passe

4. Suppression

5. Modification

16
1. Fichiers de configuration

Un compte utilisateur (ou compte Unix) permet de donner une identité à une personne
physique sur un système Linux.

Fichier de configuration
/etc/passwd
Les informations concernant les comptes utilisateur se trouvent dans le fichier
/etc/paswd :

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
adm:x:4:logcheck
…
nico:x:1002:1001:Nicola po,,,:/home/nico:/bin/bash
fran:x:1003:1001:Fran cor,,,:/home/fran:/bin/bash

Administration système Linux Comptes utilisateur 17 17

1. Fichiers de configuration
Chaque ligne de ce fichier représente un utilisateur et est composée de sept champs.

Login:password:UID:GID:comment:homedir:shell

Champ 1 : le login ou nom d’utilisateur.

Champ 2 : sur les vieilles versions, le mot de passe crypté. Si un x est présent, le mot
de passe est placé dans /etc/shadow. Si c’est un point d’exclamation le compte est
verrouillé.

Champ 3 : le User ID.

Champ 4 : le GID, c’est-à-dire le groupe principal.

Champ 5 : un commentaire ou descriptif. C’est un champ d’information.

Champ 6 : le répertoire de travail , personnel, de l’utilisateur. C’est le répertoire dans
lequel il arrive lorsqu’il se connecte.

Champ 7 : le shell par défaut de l’utilisateur. Mais ce peut être toute autre commande,
y compris une commande interdisant la connexion.

Administration système Linux Comptes utilisateur 18 18

1. Fichiers de configuration

/etc/shadow
Le fichier /etc/shadow accompagne le fichier /etc/passwd. C’est là qu’est stocké,
entre autres, le mot de passe crypté des utilisateurs. Pour être plus précis il contient
toutes les informations sur le mot de passe et sa validité dans le temps. Chaque ligne
est composée de 9 champs séparés par des : .

root:$1$5xT4RY1n$brRRksLPOsmKBupmdrLVdfo:11390:0:99999:7:::
daemon:*:13198:0:99999:7:::
bin:*:13198:0:99999:7:::
sys:*:13198:0:99999:7:::
…
nico:$1$vPMDHGx$K.BoQ1W8kBTynq/szoRnxIPh.:13236:0:99999:7:::
nico:$1$vorarPHdDxK$WhoUnASW8kTyq19TK9US.:13236:0:99999:7:::

Administration système Linux Comptes utilisateur 19 19

1. Fichiers de configuration
Un enregistrement par utilisateur et 8 champs par enregistrement.
Syntaxiquement, les enregistrements sont de la forme :
nom :mot de passe : changement : au plus tôt : au plus tard : avertissement : inactivé le : inactif le : réservé

Champ 1 : le login.

Champ 2 : le mot de passé crypté. Le $xx$ initial indique le type de cryptage.

Champ 3 : nombre de jours depuis le 1er janvier 1970 du dernier changement de mot de passe.

Champ 4 : nombre de jours avant lesquels le mot de passe ne peut pas être changé (0 : il peut
être changé n’importe quand).

Champ 5 : nombre de jours après lesquels le mot de passe doit être changé.

Champ 6 : nombre de jours avant l’expiration du mot de passe durant lesquels l’utilisateur doit
être prévenu.

Champ 7 : nombre de jours après l’expiration du mot de passe après lesquels le compte est
désactivé.

nombre de jours depuis le 1er janvier 1970 à partir du moment où le compte a été désactivé.

Champ 9 : réservé.

Administration système Linux Comptes utilisateur 20 20

2. Ajout

Donner un compte Unix à un utilisateur revient à :

Donner un moyen de connexion au système en lui affectant un login.

Faire une sorte qu'il soit le seul à pouvoir utiliser ce nom d'utilisateur en y associant
un mot de passe.

Créer un espace de stockage pour ses fichiers en lui créant un répertoire personnel.

Offrir un environnement logiciel adapté aux besoins de cet utilisateur et aux
contraintes d'administration; ceci se traduit habituellement en copiant dans son
répertoire personnel une configuration préétablie.

Ces opérations peuvent être réalisées par la commande useradd.

Administration système Linux Comptes utilisateur 21 21

2. Ajout
-c <commentaire> remplit le champ information
-d <répertoire> indique le répertoire de connexion du compte à créer
-e <date> définit la date d’expiration du compte sous la forme MM/JJ/A
-f <inactif> précise le nombre de jours maximum au bout desquels le
compte sera désactivé, après l’expiration du mot de passe
0 désactive immédiatement à l’expiration
-1 ne désactive jamais après l’expiration
-g <groupe primaire> groupe primaire, sous la forme GID ou par le nom du groupe
primaire
-G <groupe1, groupe2…> définit la liste des groupes secondaires auxquels appartient
l’utilisateur.
-m demande la création du répertoire de connexion s’il n’existe pas
-s <shell> définit le shell de connexion
-u uid attribue l’UID (unique et positive) au compte

Administration système Linux Comptes utilisateur 22 22

3. Changement de mot de passe

L'attribution d'un mot de passe à un compte Unix se fait avec la commande passwd.
Tant qu'un mot de passe n'a pas été attribué à un compte, il n'est pas possible de se
connecter au système avec :

[yassin]# su – akram
Password:
Su: Authentication failure
Sorry.
[yassin]# su –
[root]# passwd akram
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

Administration système Linux Comptes utilisateur 23 23

4. Suppression

La commande de suppression d'un compte Unix est userdel. Elle doit être utilisée avec
l'option –r pour effacer le répertoire personnel de l'utilisateur :

[root]# id akram
Uid=1010 (akram) gid=1002(technique) groups=1002(technique)
[root]# userdel –r akram
[root]# id akram
Id: akram: No such user
Ls: /home/akram: No such file or directory

Administration système Linux Comptes utilisateur 24 24

5. Modification

On utilisera usermod pour changer les données d'un compte utilisateur. Cette
commande permettant de modifier tous les champs fixés par useradd, elle supportera
les mêmes options que cette dernière.

Administration système Linux Comptes utilisateur 25 25

Plan

A Concepts de comptes utilisateur et de groupes

B Hiérarchie des utilisateurs

C Groupes

D Comptes utilisateur

E Manipulation des fichiers de configuration

F Gestion graphique des comptes utilisateur

26
E- Manipulation des fichiers de configuration

1. Edition à l'aide d'un éditeur

2. Vérification

3. Conversion

27
1. Edition à l'aide d'un éditeur

En vue des quatre fichiers de configurations /etc/group, /etc/gshadow, /etc/passwd et

/etc/shdadow, on s'aperçoit que la gestion des utilisateurs sur un système Linux se
résume quasiment à la modification de quelques lignes dans les fichiers texte.

Tout cela pourrait donc s'effectuer à l'aide d'un éditeur comme vi. Cependant,
l'utilisation d'un tel outil peut poser des problèmes de concurrence si un utilisateur a
modifié son mot de passe pendant que l'administrateur édite ce fichier; en effet, ce
dernier en enregistrant ses modifications dans le fichier /etc/shadow, annule le
changement de mot de passe que l'utilisateur vient d'opérer.

Pour cette raison, il est conseillé d'utiliser les commandes useradd et groupadd, ces
commandes travaillent en niveau de la ligne, on élimine ainsi les problèmes d'accès
concurrent.

Toutefois, il est possible d'employer vipw et vigr pour éditer ces fichiers: ils utiliseront
également un mécanisme de verrou lors de l'accès aux fichiers de configuration.

Administration système Linux Manipulation des fichiers de configuration 28 28

2. Vérification

pwck
Il ne s’agit que d’une vérification, mais en rien une modification profonde de l’existant.
Charge à l’administrateur d’apporter les rectifications.
Les vérifications portent sur :
 le nombre de champs,
 l’unicité des noms d’utilisateur
 la validité des UID et GID
 la validité du groupe primaire,
 la validité du répertoire de connexion,
 la validité du shell de connexion.

grpck
Mêmes principes que pour la commande pwck.

Administration système Linux Manipulation des fichiers de configuration 29 29

3. Conversion

Pour être compatible avec d'autres systèmes Unix, Debian possède quatre commandes
permettant de générer les fichiers de mot de passe masqués correspondant à passwd et
group, ou restaurer ces derniers à partir des fichiers shdow et gshadow :

 pwconv : génère le fichier shadow à partir du fichier passwd et d'un éventuel

fichier shadow déjà existant.
 pwunconv : régénère le fichier passwd à partir des fichiers passwd et shadow
existants et supprime le fichier shadow
 grunconv : régénère le fichier gshadow à partir des fichiers group et d'un éventuel
fichier gshadow déjà existant.
 grpunconv : régénère le fichier group à partir des fichiers group et gshadow
existants et supprime le fichier gshadow.

Administration système Linux Manipulation des fichiers de configuration 30 30

Plan

A Concepts de comptes utilisateur et de groupes

B Hiérarchie des utilisateurs

C Groupes

D Comptes utilisateur

E Manipulation des fichiers de configuration

F Gestion graphique des comptes utilisateur

31
F- Gestion graphique des comptes utilisateur

En plus des commandes standard Unix de gestion des comptes utilisateur, Debian propose
l'outil graphique users-admin de gestion des comptes utilisateur.

Ce programme permet d'effectuer les mêmes opérations que les commandes useradd,
usermod, userdel, groupadd, groupmod, groupdel et passwd.

Administration Linux 32 32