Académique Documents
Professionnel Documents
Culture Documents
Omar EL BANNAY
Plan
C Groupes
D Comptes utilisateur
2
Plan
C Groupes
D Comptes utilisateur
3
A- Concepts de comptes utilisateur et de groupes
Formation
Commercial
Fatima (C)
Amine (C)
Pour identifier tous ces utilisateurs au niveau du système d'exploitation, un numéro unique
leur sera attribué: l'UID (User's ID); le propriétaire d'un fichier est déterminé par ce numéro
sous Unix. Ces utilisateurs seront aussi dotés d'un nom utilisateur unique (login) et d'un mot
de passe (password) pour qu'ils puissent s'authentifier lors de leur connexion au système.
De la même manière, les groupes d'utilisateurs seront représentés par un nom unique auquel
sera associé un identifiant numérique : le GID (Group's ID). Ce dernier sera aussi utilisé
pour déterminer le groupe propriétaire d'un fichier.
C Groupes
D Comptes utilisateur
5
B- Hiérarchie des utilisateurs
Les utilisateurs ne sont pas tous égaux sous Unix. On peut distinguer trois types de comptes :
bin, daemon, sync, www-data… : on trouve sur le système toute une série de comptes
qui ne sont pas affectés à des personne physiques. Ceux-ci servent à faciliter la gestion
des droits d'accès de certaines applications et démons. Ainsi, en lançant le serveur Web
sous l'identité du compte www-data, on pourra aisément limiter ses droits d'accès à
certains fichiers. D'une manière générale, on ne lance jamais un service exposé aux
attaques réseau comme un serveur Web sous l'identité de root.
Yassin, Khalid… : tous les autres comptes utilisateur sont associés à des personnes
réelles; leur vocation est de permettre à des utilisateurs standard de se connecter et
d'utiliser les ressources de la machine.
Administration système Linux 6 6
Plan
C Groupes
D Comptes utilisateur
7
C- Groupes
1. Fichiers de configuration
2. Ajout
3. Suppression
4. Modification
8
C- Groupes
Dans notre exemple, nous pouvons distinguer quatre types d'utilisateurs, soit quatre groupes :
• Amine, Yassin et Amina traitent les documents administratifs de la société et doivent donc y
avoir accès.
• Fatima, Khalidet Amine créent des propositions commerciales.
• Khadija, Khalid, Mostafa et Yassin doivent avoir accès au calendrier des formations.
• Ali, Khadija, Khalid, Akram, Mostafa et Yassin doivent avoir accès aux documents
techniques de la société.
C Groupes
D Comptes utilisateur
15
D- Comptes utilisateur
1. Fichiers de configuration
2. Ajout
4. Suppression
5. Modification
16
1. Fichiers de configuration
Un compte utilisateur (ou compte Unix) permet de donner une identité à une personne
physique sur un système Linux.
Fichier de configuration
/etc/passwd
Les informations concernant les comptes utilisateur se trouvent dans le fichier
/etc/paswd :
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
adm:x:4:logcheck
…
nico:x:1002:1001:Nicola po,,,:/home/nico:/bin/bash
fran:x:1003:1001:Fran cor,,,:/home/fran:/bin/bash
Login:password:UID:GID:comment:homedir:shell
/etc/shadow
Le fichier /etc/shadow accompagne le fichier /etc/passwd. C’est là qu’est stocké,
entre autres, le mot de passe crypté des utilisateurs. Pour être plus précis il contient
toutes les informations sur le mot de passe et sa validité dans le temps. Chaque ligne
est composée de 9 champs séparés par des : .
root:$1$5xT4RY1n$brRRksLPOsmKBupmdrLVdfo:11390:0:99999:7:::
daemon:*:13198:0:99999:7:::
bin:*:13198:0:99999:7:::
sys:*:13198:0:99999:7:::
…
nico:$1$vPMDHGx$K.BoQ1W8kBTynq/szoRnxIPh.:13236:0:99999:7:::
nico:$1$vorarPHdDxK$WhoUnASW8kTyq19TK9US.:13236:0:99999:7:::
Champ 1 : le login.
Champ 2 : le mot de passé crypté. Le $xx$ initial indique le type de cryptage.
Champ 3 : nombre de jours depuis le 1er janvier 1970 du dernier changement de mot de passe.
Champ 4 : nombre de jours avant lesquels le mot de passe ne peut pas être changé (0 : il peut
être changé n’importe quand).
Champ 5 : nombre de jours après lesquels le mot de passe doit être changé.
Champ 6 : nombre de jours avant l’expiration du mot de passe durant lesquels l’utilisateur doit
être prévenu.
Champ 7 : nombre de jours après l’expiration du mot de passe après lesquels le compte est
désactivé.
nombre de jours depuis le 1er janvier 1970 à partir du moment où le compte a été désactivé.
Champ 9 : réservé.
L'attribution d'un mot de passe à un compte Unix se fait avec la commande passwd.
Tant qu'un mot de passe n'a pas été attribué à un compte, il n'est pas possible de se
connecter au système avec :
[yassin]# su – akram
Password:
Su: Authentication failure
Sorry.
[yassin]# su –
[root]# passwd akram
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
La commande de suppression d'un compte Unix est userdel. Elle doit être utilisée avec
l'option –r pour effacer le répertoire personnel de l'utilisateur :
[root]# id akram
Uid=1010 (akram) gid=1002(technique) groups=1002(technique)
[root]# userdel –r akram
[root]# id akram
Id: akram: No such user
Ls: /home/akram: No such file or directory
On utilisera usermod pour changer les données d'un compte utilisateur. Cette
commande permettant de modifier tous les champs fixés par useradd, elle supportera
les mêmes options que cette dernière.
C Groupes
D Comptes utilisateur
26
E- Manipulation des fichiers de configuration
2. Vérification
3. Conversion
27
1. Edition à l'aide d'un éditeur
Tout cela pourrait donc s'effectuer à l'aide d'un éditeur comme vi. Cependant,
l'utilisation d'un tel outil peut poser des problèmes de concurrence si un utilisateur a
modifié son mot de passe pendant que l'administrateur édite ce fichier; en effet, ce
dernier en enregistrant ses modifications dans le fichier /etc/shadow, annule le
changement de mot de passe que l'utilisateur vient d'opérer.
Pour cette raison, il est conseillé d'utiliser les commandes useradd et groupadd, ces
commandes travaillent en niveau de la ligne, on élimine ainsi les problèmes d'accès
concurrent.
Toutefois, il est possible d'employer vipw et vigr pour éditer ces fichiers: ils utiliseront
également un mécanisme de verrou lors de l'accès aux fichiers de configuration.
pwck
Il ne s’agit que d’une vérification, mais en rien une modification profonde de l’existant.
Charge à l’administrateur d’apporter les rectifications.
Les vérifications portent sur :
le nombre de champs,
l’unicité des noms d’utilisateur
la validité des UID et GID
la validité du groupe primaire,
la validité du répertoire de connexion,
la validité du shell de connexion.
grpck
Mêmes principes que pour la commande pwck.
Pour être compatible avec d'autres systèmes Unix, Debian possède quatre commandes
permettant de générer les fichiers de mot de passe masqués correspondant à passwd et
group, ou restaurer ces derniers à partir des fichiers shdow et gshadow :
C Groupes
D Comptes utilisateur
31
F- Gestion graphique des comptes utilisateur
En plus des commandes standard Unix de gestion des comptes utilisateur, Debian propose
l'outil graphique users-admin de gestion des comptes utilisateur.
Ce programme permet d'effectuer les mêmes opérations que les commandes useradd,
usermod, userdel, groupadd, groupmod, groupdel et passwd.
Administration Linux 32 32