Brukere

Merk at brukere og grupper kan ikke ha samme navn i AD, i motsetning til i Unix.

Opprette bruker

Vi har flere systemer som har konsepter om brukere – Samba og MedlemsDB2 . Disse systemene krever at brukerne opprettes på bestemte måter. Derfor har vi skriptet itkadduser som oppretter brukeren i Samba og eventuelt tilknytter en MDB-bruker. Til noen formål bruker vi standardskriptet adduser.

TypeKommandoKommentar
Personbruker sudo itkadduser Se Policy på navngiving
Systembruker utenfor AD sudo adduser --system --no-create-home --ingroup <gruppenavn> <brukernavn> Se Systembruker
Systembruker i AD sudo itkadduser --system Se Systembruker

Policy på navngiving

For å unngå krøll har vi en streng policy på navngiving av brukere.

1. Er eller har brukeren vært student på NTNU, HiST, Dronning Maud eller annen høyere utdanning?

2. Er brukernavnet allerede tatt?

Rollebrukere

Ofte er det nyttig å ha en bruker som ikke representerer et menneske; da er det ikke lenger åpenbart at den må være i AD. Du kan velge mellom en systembruker og en AD-bruker som ikke er synkronisert mot MDB. (Systembrukere er et annet navn på ikke-AD-brukere, altså brukere som kun eksisterer på ett system. De må ikke forveksles med rollebrukere.) Merk at også datamaskiner i AD har egne spesielle brukere, men de er ikke dekket her.

Hvis rollebrukeren skal være kjent for andre bokser (for eksempel hvis den skal ha tilgang til filer over Samba eller NFS), eller hvis brukeren skal være medlem av en gruppe som er i AD, må den være en AD-bruker. Ellers kan den være en systembruker.

Opprette grupper

Grupper må også opprettes på bestemte måter, avhengig av hva slags gruppe det er.

TypeKommandoKommentar
MDB-gruppe N/A Se MedlemsDB2Grupper
AD-gruppe som synkroniseres fra MDB sudo itkaddgroup
Manuelt vedlikeholdt AD-gruppe sudo itkaddgroup --system «system» er misvisende, gruppen er ingen systemgruppe
Systemgruppe sudo addgroup --system <gruppenavn> Lokal for maskinen

Sletting av brukere

Hver dag kjøres skriptet unixdeleteuser, som har som oppgave å slette brukere som:

Når en bruker tilfredsstiller kravene over, får de en notis på epost. Går det tre uker uten endring, får brukeren en advarsel om at brukeren slettes om en uke. Etter en uke slettes brukeren .

Det hender at noen ber om å få utsatt slettingen. Dette skjer automatisk dersom brukeren fornyer medlemskapet sitt, gjengsjefen gir brukeren et verv eller vi gir et midlertidig eksternt unixgruppemedlemskap.

Merk at bare brukere med primærgruppe som er listet opp i /etc/itk/allowed_groups behandles av unixdeleteuser. På denne måten unngår vi blant annet at itk-brukere slettes.

Dersom du vil slette en bruker som ikke behandles av unixdeleteuser, bruk itkdeluser.

Gi bruker SSH-tilgang

Hvis en eksisterende personbruker ikke har ssh-tilgang er det fordi personen ikke har satt et shell.

voff# samba-tool user edit <bruker>

Finn loginShell: /bin/false og sett feltet til /bin/bash eller /bin/zsh

Informasjonen må synkes over til (f.eks) cassarossa etterpå, og for å fremtvinge dette så kan du kjøre

cassarossa# sss_cache -u <bruker>

Lenker: Start

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2024-02-02 00:30 | Revisjon: 38 (historie, blame) | Totalt: 1902 kB | Rediger