openSUSE-Dokumentation
Kapitel 5. Verwalten von Benutzern mit YaST / 5.3. Weitere Optionen für Benutzerkonten
Zurück5.2. Benutzerkonten verwalten5.4. Ändern der Standardeinstellungen für lokale BenutzerWeiter

Weitere Optionen für Benutzerkonten

Zusätzlich zu den Einstellungen für ein Standard-Benutzerkonto bietet openSUSE® weitere Optionen wie Optionen zur Erzwingung von Passwortrichtlinien, zur Verwendung verschlüsselter Home-Verzeichnisse oder zur Definition von Festplattenquoten für Benutzer oder Gruppen.

Automatische Anmeldung und Anmeldung ohne Passwort

Wenn Sie in der KDE- oder GNOME-Desktop-Umgebung arbeiten, können Sie die Automatische Anmeldung für einen bestimmten Benutzer sowie die Anmeldung ohne Passwort für sämtliche Benutzer konfigurieren. Mit der Option für die automatische Anmeldung wird ein Benutzer beim Booten automatisch in der Desktop-Umgebung angemeldet. Diese Funktion kann nur für jeweils einen Benutzer aktiviert werden. Mit der Option für die Anmeldung ohne Passwort können sich sämtliche Benutzer beim System anmelden, nachdem sie ihren Benutzernamen im Anmeldemanager eingegeben haben.

[Warning]Sicherheitsrisiko

Die Aktivierung von Automatische Anmeldung bzw. Anmeldung ohne Passwort stellt auf einem Rechner, zu dem mehrere Personen Zugang haben, ein Sicherheitsrisiko dar. Jeder Benutzer kann ohne Authentifizierung Zugriff auf Ihr System und Ihre Daten erhalten. Verwenden Sie diese Funktion nicht, wenn Ihr System vertrauliche Daten enthält.

Zur Aktivierung der automatischen Anmeldung oder der Anmeldung ohne Passwort greifen Sie auf diese Funktionen in der Verwaltung von Benutzern und Gruppen von YaST über die Optionen für Experten+Einstellungen für das Anmelden zu.

Erzwingen von Passwortrichtlinien

Bei einem System mit mehreren Benutzern ist es ratsam, mindestens grundlegende Sicherheitsrichtlinien für Passwörter zu erzwingen. Die Benutzer sollten ihre Passwörter regelmäßig ändern und starke Passwörter verwenden, die nicht so leicht herausgefunden werden können. Gehen Sie für lokale Benutzer folgendermaßen vor:

Prozedur 5.3. Konfigurieren von Passworteinstellungen

  1. Öffnen Sie das YaST-Dialogfeld Verwaltung von Benutzern und Gruppen und wählen Sie den Karteireiter Benutzer aus.

  2. Wählen Sie den Benutzer aus, für den die Passwortoptionen geändert werden sollen, und klicken Sie auf Bearbeiten.

  3. Wechseln Sie zum Karteireiter Passworteinstellungen.

  4. Um den Benutzer bei der nächsten Anmeldung zur Änderung seines Passworts zu veranlassen, aktivieren Sie die Option Passwortänderung erzwingen.

  5. Legen Sie zur Erzwingung der Passwortrotation eine Maximale Anzahl von Tagen für das gleiche Passwort sowie eine Minimale Anzahl von Tagen für das gleiche Passwort fest.

  6. Um den Benutzer daran zu erinnern, sein Passwort vor Ablauf zu ändern, legen Sie mit Tage vor Ablauf des Passworts warnen fest, wieviele Tage vor Ablauf des Passworts der Benutzer gewarnt werden soll.

  7. Um den Zeitraum der Anmeldung des Benutzers nach Ablauf des Passworts einzuschränken, ändern Sie den Wert unter Tage nach Ablauf des Passworts Anmeldevorgang möglich.

  8. Sie können für ein Passwort auch ein bestimmtes Ablaufdatum angeben. Geben Sie das Ablaufdatum im Format JJJJ-MM-TT ein.

  9. Weitere Informationen zu den Optionen und die Standardwerte erhalten Sie durch Klicken auf Hilfe.

  10. Übernehmen Sie Änderungen mit OK.

Verwalten verschlüsselter Home-Verzeichnisse

Um Datendiebstahl in Home-Verzeichnissen und die Entfernung der Festplatte zu unterbinden, können Sie verschlüsselte Home-Verzeichnisse für Benutzer erstellen. Sie werden mit LUKS (Linux Unified Key Setup) verschlüsselt. Datei werden ein Image und ein Image-Schlüssel für die Benutzer erstellt. Der Image-Schlüssel ist durch das Anmeldepasswort des Benutzers geschützt. Wenn sich der Benutzer am System anmeldet, wird das verschlüsselte Home-Verzeichnis eingehängt und die Inhalte werden für den Benutzer verfügbar gemacht.

[Note]Fingerabdruck-Lesegeräte und verschlüsselte Home-Verzeichnisse

Wenn Sie ein Fingerabdruck-Lesegerät verwenden, brauchen Sie keine verschlüsselten Home-Verzeichnisse zu verwenden. Andernfalls schlägt die Anmeldung fehl, da eine Entschlüsselung während der Anmeldung in Kombination mit einem aktiven Fingerabdruck-Lesegerät nicht möglich ist.

Mit YaST können Sie verschlüsselte Home-Verzeichnisse für neue oder vorhandene Benutzer erstellen. Um verschlüsselte Home-Verzeichnisse von bereits vorhandenen Benutzern zu verschlüsseln oder zu bearbeiten, müssen Sie das aktuelle Anmeldepasswort des Benutzers eingeben. Standardmäßig werden sämtliche vorhandenen Benutzerdaten in das neue verschlüsselte Home-Verzeichnis kopiert, im unverschlüsselten Verzeichnis jedoch nicht gelöscht.

[Warning]Sicherheitsbeschränkungen

Das Verschlüsseln des Home-Verzeichnisses eines Benutzers bietet keinen umfassenden Schutz vor anderen Benutzern. Wenn Sie einen umfassenden Schutz benötigen, sollten nicht mehrere Benutzer an einem Rechner arbeiten.

Hintergrundinformationen zu verschlüsselten Home-Verzeichnissen und zu den Aktionen zum Erreichen einer höheren Sicherheit finden Sie in Abschnitt „Verwenden von verschlüsselten Home-Verzeichnissen“ (Kapitel 36, Verschlüsseln von Partitionen und Dateien, ↑Referenz).

Prozedur 5.4. Erstellen verschlüsselter Home-Verzeichnisse

  1. Öffnen Sie das YaST-Dialogfeld Verwaltung von Benutzern und Gruppen und klicken Sie auf den Karteireiter Benutzer.

  2. Zum Verschlüsseln des Home-Verzeichnisses eines vorhandenen Benutzers wählen Sie den Benutzer aus und klicken Sie auf Bearbeiten.

    Anderenfalls klicken Sie auf Hinzufügen, um ein neues Benutzerkonto zu erstellen und geben Sie auf dem ersten Karteireiter die entsprechenden Benutzerdaten ein.

  3. Aktivieren Sie auf dem Karteireiter Details die Option Verschlüsseltes Home-Verzeichnis verwenden. Geben Sie unter Verzeichnisgröße in MB die Größe der verschlüsselten Imagedatei an, die für diesen Benutzer erstellt werden soll.

  4. Übernehmen Sie die Einstellungen mit OK.

  5. Geben Sie das aktuelle Anmeldepasswort des Benutzers ein, um an der Eingabeaufforderung von YaST fortzufahren.

  6. Klicken Sie auf Optionen für Experten+Änderungen nun schreiben, um alle Änderungen zu speichern, ohne das Verwaltungsdialogfeld zu schließen. Alternativ können Sie auf Beenden klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.

Prozedur 5.5. Modifizieren oder Deaktivieren verschlüsselter Home-Verzeichnisse

Selbstverständlich besteht jederzeit die Möglichkeit, die Verschlüsselung eines Home-Verzeichnisses zu deaktivieren bzw. die Größe der Imagedatei zu ändern.

  1. Öffnen Sie das YaST-Dialogfeld Verwaltung von Benutzern und Gruppen in der Ansicht Benutzer.

  2. Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf Bearbeiten.

  3. Wenn Sie die Verschlüsselung deaktivieren möchten, wechseln Sie zum Karteireiter Details und deaktivieren Sie Verschlüsseltes Home-Verzeichnis verwenden.

    Wenn Sie die Größe der verschlüsselten Imagedatei für diesen Benutzer ändern müssen, ändern Sie den Wert in Verzeichnisgröße in MB.

  4. Übernehmen Sie die Einstellungen mit OK.

  5. Geben Sie das aktuelle Anmeldepasswort des Benutzers ein, um an der Eingabeaufforderung von YaST fortzufahren.

  6. Klicken Sie auf Optionen für Experten +Änderungen nun schreiben, um alle Änderungen zu speichern, ohne das Dialogfeld Verwaltung von Benutzern und Gruppen zu schließen. Alternativ können Sie auf Beenden klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.

Verwenden der Authentifizierung per Fingerabdruck

Wenn Ihr System einen Fingerabdruckleser enthält, können Sie die biometrische Authentifizierung zusätzlich zur Standardauthentifizierung über Benutzername und Passwort verwenden. Nachdem ihr Fingerabdruck registriert wurde, können sich die Benutzer beim System anmelden, indem sie entweder einen Finger über das Fingerabdruck-Lesegerät ziehen oder ein Passwort eingeben.

Fingerabdrücke können mit YaST registriert werden. Detaillierte Informationen zu Konfiguration und Verwendung der Authentifizierung per Fingerabdruck finden Sie unter Kapitel Verwendung des Fingerabdrucklesers (↑Referenz). Eine umfassende Liste mit unterstützten Hardwaregeräten finden Sie unter http://reactivated.net/fprint/wiki/Supported_devices.

Verwalten von Quoten

Um zu verhindern, dass die Systemkapazität unbemerkt erschöpft wird, können Systemadministratoren Quoten für Benutzer oder Gruppen einrichten. Quoten können für ein oder mehrere Dateisysteme definiert werden und beschränken den Speicherplatz, der verwendet werden kann, sowie die Anzahl der Inodes (Indexnotizen), die hier erstellt werden können. Inodes sind Datenstrukturen in einem Dateisystem, in denen Basisinformationen zu regulären Dateien, Verzeichnissen oder anderen Dateisystemobjekten gespeichert sind. In ihnen sind alle Attribute eines Dateisystemobjekts (wie die Eigentümerschaft von Benutzern und Gruppen sowie Lese-, Schreib- und Ausführungsberechtigungen) gespeichert mit Ausnahme des Dateinamens und -inhalts.

In openSUSE können Quoten vom Typ Soft und Hard verwendet werden. Mit Softquoten wird im Normalfall eine Warnstufe definiert, bei der Benutzer darüber informiert werden, dass ihr Limit nahezu erreicht ist. Mit Hardquoten hingegen wird das Limit definiert, bei dem Schreibanforderungen verweigert werden. Zusätzlich können Kulanzintervalle definiert werden, damit Benutzer oder Gruppen ihre Quoten vorübergehend um bestimmte Werte überschreiten können.

Prozedur 5.6. Aktivieren der Quotenunterstützung für eine Partition

Wenn Sie Quoten für bestimmte Benutzer und Gruppen konfigurieren möchten, müssen Sie unter "Festplatte vorbereiten: Expertenmodus" in YaST zunächst die Quotenunterstützung für die entsprechende Partition aktivieren.

  1. Wählen Sie in YaST die Optionsfolge System+Partitionieren und klicken Sie dann auf Ja, um fortzufahren.

  2. Wählen Sie unter Festplatte vorbereiten: Expertenmodus die Partition, für die Sie Quoten aktivieren möchten, und klicken Sie dann auf Bearbeiten.

  3. Klicken Sie auf Optionen für Fstab und aktivieren Sie die Option Quotenunterstützung aktivieren. Wenn das Paket Quoten nicht bereits installiert ist, wird es installiert, sobald Sie die entsprechende Meldung mit Ja bestätigen.

  4. Bestätigen Sie Ihre Änderungen und beenden Sie Festplatte vorbereiten: Expertenmodus.

Prozedur 5.7. Einrichten von Quoten für Benutzer oder Gruppen

Nun können Sie für spezifische Benutzer oder Gruppen Soft- bzw. Hardquoten definieren und Zeiträume als Kulanzintervalle festlegen.

  1. Wählen Sie in YaST unter Verwaltung von Benutzern und Gruppen den Benutzer bzw. die Gruppe aus, für die Quoten festgelegt werden sollen, und klicken Sie anschließend auf Bearbeiten.

  2. Wählen Sie auf dem Karteireiter Plugins den Quoteneintrag aus und klicken Sie dann auf Aufrufen, um das Dialogfeld für die Quotenkonfiguration zu öffnen.

  3. Wählen Sie unter Dateisystem die Partition aus, auf die Quote angewendet werden soll.

  4. Beschränken Sie im Bereich Größenbeschränkungen den Speicherplatz. Geben Sie die Anzahl der 1-KB-Blöcke an, über die der Benutzer bzw. die Gruppe auf dieser Partition verfügen kann. Geben Sie einen Wert für Softlimit und einen für Hardlimit an.

  5. Zudem können Sie die Anzahl der Inodes beschränken, über die der Benutzer bzw. die Gruppe auf der Partition verfügen kann. Geben Sie im Bereich für die Inodes-Limits ein Softlimit und ein Hardlimit ein.

  6. Kulanzintervalle können nur definiert werden, wenn der Benutzer bzw. die Gruppe das für die Größe bzw. die Inodes festgelegte Softlimit bereits überschritten hat. Andernfalls sind die zeitbezogenen Eingabefelder nicht aktiviert. Geben Sie den Zeitraum an, für den der Benutzer bzw. die Gruppe die oben festgelegten Limits überschreiten darf.

  7. Bestätigen Sie die Einstellungen mit OK.

  8. Klicken Sie auf Optionen für Experten +Änderungen nun schreiben, um alle Änderungen zu speichern, ohne das Dialogfeld Verwaltung von Benutzern und Gruppen zu schließen. Alternativ können Sie auf Beenden klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.

openSUSE bietet auch Kommandozeilenprogramme wie repquota oder warnquota, mit denen Systemadministratoren die Festplattenauslastung kontrollieren oder E-Mail-Benachrichtigungen an Benutzer, die Ihre Speichergrenze überschreiten, senden können. Mit quota_nld können Administratoren auch Kernel-Meldungen über überschrittene Speichergrenzen an D-BUS weiterleiten. Weitere Informationen finden Sie auf der repquota-, warnquota- und quota_nld-man-Seite (root-Passwort erforderlich).

Zurück5.2. Benutzerkonten verwaltenZum Anfang5.4. Ändern der Standardeinstellungen für lokale BenutzerWeiter