openSUSE-Dokumentation
Kapitel 5. Verwalten von Benutzern mit YaST / 5.2. Spezielle Optionen
ZurückKapitel 5. Verwalten von Benutzern mit YaST5.3. Verwalten von GruppenWeiter

5.2. Spezielle Optionen

Neben den Einstellungen für ein standardmäßiges Benutzerkonto bietet openSUSE einige spezielle Optionen, beispielsweise die automatische Anmeldung, die Anmeldung ohne Passwort, verschlüsselte Home-Verzeichnisse bzw. Quoten für Benutzer und Gruppen.

5.2.1. Automatische Anmeldung und Anmeldung ohne Passwort

Wenn Sie in der KDE- oder GNOME-Desktop-Umgebung arbeiten, können Sie die Automatische Anmeldung für einen bestimmten Benutzer sowie die Anmeldung ohne Passwort für sämtliche Benutzer konfigurieren. Mit der Option für die automatische Anmeldung wird ein Benutzer beim Booten automatisch in der Desktop-Umgebung angemeldet. Diese Funktion kann nur für jeweils einen Benutzer aktiviert werden. Mit der Option für die Anmeldung ohne Passwort können sich sämtliche Benutzer beim System anmelden, nachdem sie ihren Benutzernamen im Anmeldemanager eingegeben haben.

[Warning]Potenzielles Sicherheitsrisiko

Die Aktivierung von Automatische Anmeldung bzw. Anmeldung ohne Passwort stellt auf einem Rechner, zu dem mehrere Personen Zugang haben, ein potenzielles Sicherheitsrisiko dar. Jeder Benutzer kann ohne Authentifizierung Zugriff auf Ihr System und Ihre Daten erhalten. Verwenden Sie diese Funktion nicht, wenn Ihr System vertrauliche Daten enthält.

Wenn Sie die automatische Anmeldung bzw. die Anmeldung ohne Passwort aktivieren möchten, greifen Sie über Optionen für Experten+Einstellungen für das Anmelden auf diese Funktionen zu.

5.2.2. Verwalten verschlüsselter Home-Verzeichnisse

Um Datendiebstahl in Home-Verzeichnissen und die Entfernung der Festplatte zu unterbinden, können Sie verschlüsselte Home-Verzeichnisse für Benutzer erstellen. Sie werden mit LUKS (Linux Unified Key Setup) verschlüsselt. Dabei werden ein Image und ein Image-Schlüssel für die Benutzer erstellt. Der Image-Schlüssel ist durch das Anmeldepasswort des Benutzers geschützt. Wenn sich der Benutzer am System anmeldet, wird das verschlüsselte Home-Verzeichnis eingehängt und die Inhalte werden für den Benutzer verfügbar gemacht.

Mit YaST können Sie verschlüsselte Home-Verzeichnisse für neue oder vorhandene Benutzer erstellen. Um verschlüsselte Home-Verzeichnisse von bereits vorhandenen Benutzern zu verschlüsseln oder zu bearbeiten, müssen Sie das aktuelle Anmeldepasswort des Benutzers eingeben. Standardmäßig werden sämtliche vorhandenen Benutzerdaten in das neue verschlüsselte Home-Verzeichnis kopiert, im unverschlüsselten Verzeichnis jedoch nicht gelöscht.

Prozedur 5.4. Erstellen verschlüsselter Home-Verzeichnisse

  1. Öffnen Sie das YaST-Dialogfeld Verwaltung von Benutzern und Gruppen in der Benutzeransicht.

  2. Wenn Sie das Home-Verzeichnis eines vorhandenen Benutzers verschlüsseln möchten, wählen Sie einen Eintrag aus und klicken Sie dann auf Bearbeiten.

    Anderenfalls klicken Sie auf Hinzufügen, um ein neues Benutzerkonto zu erstellen und geben Sie auf dem ersten Karteireiter die entsprechenden Benutzerdaten ein.

  3. Aktivieren Sie auf dem Karteireiter Details die Option Verschlüsseltes Home-Verzeichnis verwenden. Geben Sie unter Verzeichnisgröße in MB die Größe der verschlüsselten Imagedatei an, die für diesen Benutzer erstellt werden soll.

  4. Übernehmen Sie die Einstellungen mit Übernehmen.

  5. Wenn Sie die Verschlüsselungsoptionen für einen bereits bestehenden Benutzer geändert haben, werden Sie von YaST aufgefordert, das aktuelle Anmeldepasswort des Benutzers einzugeben. Geben Sie das Passwort des Benutzers ein, um fortzufahren.

  6. Klicken Sie auf Optionen für Experten+Änderungen nun schreiben, um alle Änderungen zu speichern, ohne das Verwaltungsdialogfeld zu schließen. Alternativ können Sie auf Beenden klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.

Prozedur 5.5. Bearbeiten oder Deaktivieren verschlüsselter Home-Verzeichnisse

Selbstverständlich besteht jederzeit die Möglichkeit, die Verschlüsselung eines Home-Verzeichnisses zu deaktivieren bzw. die Größe der Imagedatei zu ändern.

  1. Öffnen Sie das YaST-Dialogfeld Verwaltung von Benutzern und Gruppen in der Benutzeransicht.

  2. Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf Bearbeiten.

  3. Wenn Sie die Verschlüsselung deaktivieren möchten, wechseln Sie zum Karteireiter Details und deaktivieren Sie Verschlüsseltes Home-Verzeichnis verwenden.

    Wenn Sie die Größe der verschlüsselten Imagedatei für diesen Benutzer ändern müssen, ändern Sie den Wert in Verzeichnisgröße in MB.

  4. Übernehmen Sie die Einstellungen mit Übernehmen.

  5. Geben Sie das Passwort des Benutzers ein, um fortzufahren.

  6. Klicken Sie auf Optionen für Experten+Änderungen nun schreiben, um alle Änderungen zu speichern, ohne das Verwaltungsdialogfeld zu schließen. Alternativ können Sie auf Beenden klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.

[Warning]Sicherheitsbeschränkungen

Das Verschlüsseln des Home-Verzeichnisses eines Benutzers bietet keinen umfassenden Schutz vor anderen Benutzern. Wenn Sie einen umfassenden Schutz benötigen, sollten nicht mehrere Benutzer an einem Rechner arbeiten.

Weitere Optionen für verschlüsselte Home-Verzeichnisse stehen im Kommandozeilenwerkzeug cryptconfig zur Verfügung. Weitere Informationen zu cryptconfig und dazu, welche zusätzlichen Maßnahmen für höhere Sicherheit ergriffen werden können, finden Sie unter Abschnitt „Verwenden von verschlüsselten Home-Verzeichnissen“ (Kapitel 40, Verschlüsseln von Partitionen und Dateien, ↑Referenz).

5.2.3. Verwenden der Authentifizierung per Fingerabdruck

Wenn Ihr System mit dem Fingerabdruck-Lesegerät von UPEK/SGS Thomson Microelectronics ausgestattet ist, der im Lieferumfang einiger ThinkPads von IBM und Lenovo ThinkPads enthalten ist (und auch bei einigen anderen Notebooks, USB-Tastaturen oder als eigenständiges Gerät verfügbar ist), können Sie zusätzlich zur standardmäßigen Authentifizierung über Anmeldung und Passwort die biometrische Authentifizierung einsetzen. Nachdem ihr Fingerabdruck registriert wurde, können sich die Benutzer beim System anmelden, indem sie entweder einen Finger über das Fingerabdruck-Lesegerät ziehen oder ein Passwort eingeben.

Fingerabdrücke können entweder mit YaST oder über die Kommandozeile registriert werden. Detaillierte Informationen zu Konfiguration und Verwendung der Authentifizierung per Fingerabdruck finden Sie unter http://en.opensuse.org/Using_Fingerprint_Authentication.

5.2.4. Verwalten von Quoten

Um zu verhindern, dass die Systemkapazität unbemerkt erschöpft wird, können Systemadministratoren Quoten für Benutzer oder Gruppen einrichten. Quoten können für ein oder mehrere Dateisysteme definiert werden und beschränken den Speicherplatz, der verwendet werden kann, sowie die Anzahl der Inodes, die hier erstellt werden können. Weitere Informationen zu Inodes finden Sie unter Abschnitt „Terminologie“ (Kapitel 16, Dateisysteme in Linux, ↑Referenz). In openSUSE können Quoten vom Typ Soft und Hard verwendet werden. Mit Softquoten wird im Normalfall eine Warnstufe definiert, bei der Benutzer darüber informiert werden, dass ihr Limit nahezu erreicht ist. Mit Hardquoten hingegen wird das Limit definiert, bei dem Schreibanforderungen verweigert werden. Zusätzlich können Kulanzintervalle definiert werden, damit Benutzer oder Gruppen ihre Quoten vorübergehend um bestimmte Werte überschreiten können.

Prozedur 5.6. Aktivieren der Quotenunterstützung für eine Partition

Wenn Sie Quoten für bestimmte Benutzer und Gruppen konfigurieren möchten, müssen Sie im YaST-Partitionierungsmodul zunächst die Quotenunterstützung für die entsprechende Partition aktivieren.

  1. Wählen Sie in YaST die Optionsfolge System+Partitionieren und klicken Sie dann auf Ja, um fortzufahren.

  2. Wählen Sie unter Festplatte vorbereiten: Expertenmodus die Partition, für die Sie Quoten aktivieren möchten, und klicken Sie dann auf Bearbeiten.

  3. Klicken Sie auf Optionen für Fstab und aktivieren Sie die Option zur Aktivierung der Quotenunterstützung.

  4. Bestätigen Sie die vorgenommenen Änderungen mit OK und schließen Sie Festplatte vorbereiten: Expertenmodus mit Anwenden.

Prozedur 5.7. Einrichten von Quoten für Benutzer oder Gruppen

Nun können Sie für spezifische Benutzer oder Gruppen Soft- bzw. Hardquoten definieren und Zeiträume als Kulanzintervalle festlegen.

  1. Wählen Sie in YaST unter Verwaltung von Benutzern und Gruppen den Benutzer bzw. die Gruppe aus, für den/die Sie Quoten festlegen möchten, und klicken Sie dann auf Bearbeiten.

  2. Wählen Sie auf dem Karteireiter Plugins den Quoteneintrag aus und klicken Sie dann auf Aufrufen, um das Dialogfeld für die Quotenkonfiguration zu öffnen.

  3. Wählen Sie unter Dateisystem die Partition aus, auf die Quote angewendet werden soll.

  4. Beschränken Sie im Bereich Größenbeschränkungen den Speicherplatz. Geben Sie die Anzahl der 1-KB-Blöcke an, über die der Benutzer bzw. die Gruppe auf dieser Partition verfügen kann. Geben Sie einen Wert für Softlimit und einen für Hardlimit an.

  5. Zudem können Sie die Anzahl der Inodes beschränken, über die der Benutzer bzw. die Gruppe auf der Partition verfügen kann. Geben Sie im Bereich für die Inodes-Limits ein Softlimit und ein Hardlimit ein.

  6. Kulanzintervalle können nur definiert werden, wenn der Benutzer bzw. die Gruppe das für die Größe bzw. die Inodes festgelegte Softlimit bereits überschritten hat. Anderenfalls sind die zeitbezogenen Eingabefelder nicht aktiviert. Geben Sie den Zeitraum an, für den der Benutzer bzw. die Gruppe die oben festgelegten Limits überschreiten darf.

  7. Bestätigen Sie die Einstellungen mit Übernehmen.

ZurückKapitel 5. Verwalten von Benutzern mit YaSTZum Anfang5.3. Verwalten von GruppenWeiter