11 1-Utilisateurs 102 Rev3
11 1-Utilisateurs 102 Rev3
11 1-Utilisateurs 102 Rev3
Révision 2
Objectifs
Savoir créer des utilisateurs;
Savoir gérer les groupes et la participation des utilisateurs dans différents groupes;
Connaître les fichiers de configuration
Modifier les comptes des utilisateurs et la configuration par défaut
Points importants
Le système de gestion des utilisateurs sous Linux est simple mais efficace ...
Expliquer ses limitations (e.g. Problèmes d'appartenance à deux groupes et gestion de
fichiers)
Pour la création d'un utilisateur, on utilise la commande /usr/sbin/useradd (ou son alias /
usr/sbin/adduser qui est un lien symbolique vers la commande précédente pour des
raisons de compatibilité).
Les options par défaut se trouvent dans le fichier /etc/default/useradd (ou sont listées
par l'option -D de la commande useradd )
Page 1/8
Chaque utilisateur possède un numéro (UID) généré compris entre 500 et 60000
Pour activer le compte, l'administrateur doit définir un mot de passe pour le compte par la
commande /usr/bin/passwd
/usr/bin/passwd nom-utilisateur
/usr/bin/passwd mejdi
Un utilisateur appartient toujours au moins à un groupe dit groupe initial (primary group).
Suivant la stratégie employée le masque par défaut (umask) de création est initialisé à
022 dans le premier cas (classique) et à 002 dans le deuxième cas (UPG).
Pour connaître la liste des groupes que l'on peut joindre, on utilise la commande id
id
uid=1421(moi) gid=1664(normal) groupes=1664(normal),2010
(compta),2008(chefs)
Ici, le groupe effectif est 'normal' et l'on peut joindre les groupes 'compta' et 'chefs'
newgrp chefs
Page 2/8
La commande id donne alors
id
uid=1421(moi) gid=2008(chefs) groupes=1664(normal),2010(compta),
2008(chefs)
groups
normal compta chefs
groupadd forcats
La commande est prévue à l'origine pour ajouter un mot de passe commun au groupe et
permettre à des utilisateur du même groupe de se connecter avec le même mot de passe,
ce qui explique le nom de la commande. Cette possibilité n'existe plus pour des raisons
de sécurité évidentes.
1 login
2 UID
3 GID
Page 3/8
4 mot de passe ou 'x' s'il existe un fichier /etc/shadow
5 Description de l'utilisateur
6 répertoire par défaut de l'utilisateur
7 shell
En général, Linux utilise un fichier /etc/shadow pour stocker les mots de passe : la
sécurité est bien meilleure car il est protégé en lecture. Le fichier /etc/passwd est lisible
par toutes les applications.
/usr/sbin/pwconv
Pour revenir à la configuration précédente (i.e. stockage des mots de passe dans le fichier
/etc/passwd)
/usr/sbin/pwunconv
Attention à fixer correctement les droits sur ces fichiers : 600 ou même 400 pour
'/etc/shadow et 644 pour /etc/passwd.
Ne pas oublier de vérifier, lors de l'utilisation 'pwunconv' de remettre les mêmes droits
sur /etc/passwd.
Le fichier /etc/group contient les informations des groupes structurées en quatre champs
sur une ligne séparés par le caractère ':'.
1 Nom du groupe
2 mot de passe du groupe ou 'x' s'il existe un fichier /etc/gshadow
3 GID
5 Liste des utilisateurs du groupe
De même que pour le fichier de mot de passe, pour créer un fichier '/etc/gshadow' à
partir d'un fichier '/etc/group' on utilise la commande
Page 4/8
/usr/sbin/grpconv
Pour revenir à la configuration précédente (i.e. stockage des mots de passe dans le fichier
/etc/group et destruction de /etc/gshadow)
/usr/sbin/grpunconv
Le répertoire /etc/skel contient les fichiers qui seront recopiés automatiquement dans le
répertoire des utilisateurs lors de sa création (e.g. .bashrc, .tcshrc ...)
Page 5/8
1.5 Gestion des comptes et des options de création par défaut
Les options de configuration d'un compte peuvent être modifiées par la commande
'usermod'
Les options de configuration d'un groupe peuvent être modifiées par la commande
'groupmod'
Bloquer un compte
Un moyen simple et de faire précéder le mot de passe par un '!' dans les fichiers de
configuration. Lors de l'utilisation d'un fichier /etc/shadow, on peut remplacer également le
'x' dans le fichier /etc/passwd par un '*'
passwd -l
usermod -L
passwd -u
usermod -U
passwd -d
Enfin, on peut affecter le shell par défaut '/bin/false' ce qui empêche l'utilisateur de se
Page 6/8
connecter.
Pour modifier les informations mises par défaut (/etc/login.defs) et les informations
d'expiration, on utilise la commande /usr/bin/chage
-M -I
Nombre de jour(s) de Intervalle de validité
validité du mot de passe après expiration du
mot de passe
-W
Nombre de jour(s) d'avertissement
avant expiration du mot de passe
Page 7/8
/usr/sbin/userdel -r mejdi
1.6 Exercices
Mots clefs
Utilisateurs
groupes
/usr/sbin/useradd
/etc/skel
/etc/passwd
/etc/group
/etc/shadow
/etc/default/useradd
/usr/bin/passwd
/bin/id
/usr/bin/newgrp
/usr/bin/groups
/usr/sbin/groupadd
/usr/sbin/pwconv
/usr/sbin/pwunconv
/etc/gshadow
/usr/sbin/grpconv
/usr/sbin/grpunconv
/usr/sbin/usermod
/bin/false
/usr/sbin/userdel
Page 8/8