Brukere
Merk at brukere og grupper kan ikke ha samme navn i AD, i motsetning til i Unix.
Opprette bruker
Vi har flere systemer som har konsepter om brukere – Samba og MedlemsDB2 . Disse systemene krever at brukerne opprettes på bestemte måter. Derfor har vi skriptet itkadduser som oppretter brukeren i Samba og eventuelt tilknytter en MDB-bruker. Til noen formål bruker vi standardskriptet adduser.
Type | Kommando | Kommentar |
---|---|---|
Personbruker | sudo itkadduser | Se Policy på navngiving |
Systembruker utenfor AD | sudo adduser --system --no-create-home --ingroup <gruppenavn> <brukernavn> | Se Systembruker |
Systembruker i AD | sudo itkadduser --system | Se Systembruker |
Policy på navngiving
For å unngå krøll har vi en streng policy på navngiving av brukere.
1. Er eller har brukeren vært student på NTNU, HiST, Dronning Maud eller annen høyere utdanning?
- Ja: bruk samme brukernavn som der (ingen unntak, med mindre studiestedet har brukernavn basert på studentnummer!)
- Nei: velg et brukernavn som gjenspeiler navnet til brukeren. La brukernavnet være lengre enn åtte tegn, så er faren for kollisjon med NTNU-brukernavn mindre. Brukernavnet skal være saklig, ikke antilope, havard88, flodhest eller geit, men bjornhansen går an.
2. Er brukernavnet allerede tatt?
- Ja: forsøk nye navn basert på forrige regel inntil du treffer et ledig.
Rollebrukere
Ofte er det nyttig å ha en bruker som ikke representerer et menneske; da er det ikke lenger åpenbart at den må være i AD. Du kan velge mellom en systembruker og en AD-bruker som ikke er synkronisert mot MDB. (Systembrukere er et annet navn på ikke-AD-brukere, altså brukere som kun eksisterer på ett system. De må ikke forveksles med rollebrukere.) Merk at også datamaskiner i AD har egne spesielle brukere, men de er ikke dekket her.
Hvis rollebrukeren skal være kjent for andre bokser (for eksempel hvis den skal ha tilgang til filer over Samba eller NFS), eller hvis brukeren skal være medlem av en gruppe som er i AD, må den være en AD-bruker. Ellers kan den være en systembruker.
Opprette grupper
Grupper må også opprettes på bestemte måter, avhengig av hva slags gruppe det er.
Type | Kommando | Kommentar |
---|---|---|
MDB-gruppe | N/A | Se MedlemsDB2Grupper |
AD-gruppe som synkroniseres fra MDB | sudo itkaddgroup | |
Manuelt vedlikeholdt AD-gruppe | sudo itkaddgroup --system | «system» er misvisende, gruppen er ingen systemgruppe |
Systemgruppe | sudo addgroup --system <gruppenavn> | Lokal for maskinen |
Sletting av brukere
Hver dag kjøres skriptet unixdeleteuser, som har som oppgave å slette brukere som:
- Ikke har noe aktivt verv
- Ikke har aktivt medlemskap
- Ikke har noen aktive eksterne unixgruppemedlemskap
Når en bruker tilfredsstiller kravene over, får de en notis på epost. Går det tre uker uten endring, får brukeren en advarsel om at brukeren slettes om en uke. Etter en uke slettes brukeren .
Det hender at noen ber om å få utsatt slettingen. Dette skjer automatisk dersom brukeren fornyer medlemskapet sitt, gjengsjefen gir brukeren et verv eller vi gir et midlertidig eksternt unixgruppemedlemskap.
Merk at bare brukere med primærgruppe som er listet opp i /etc/itk/allowed_groups behandles av unixdeleteuser. På denne måten unngår vi blant annet at itk-brukere slettes.
Dersom du vil slette en bruker som ikke behandles av unixdeleteuser, bruk itkdeluser.
Gi bruker SSH-tilgang
Hvis en eksisterende personbruker ikke har ssh-tilgang er det fordi personen ikke har satt et shell.
voff# samba-tool user edit <bruker>
Finn loginShell: /bin/false og sett feltet til /bin/bash eller /bin/zsh
Informasjonen må synkes over til (f.eks) cassarossa etterpå, og for å fremtvinge dette så kan du kjøre
cassarossa# sss_cache -u <bruker>
Lenker: Start
Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2024-02-02 00:30 | Revisjon: 38 (historie, blame) | Totalt: 1902 kB | Rediger