Product SiteDocumentation Site

第3章 ユーザーとグループの管理

3.1. ユーザーとグループのイントロダクション
3.1.1. ユーザープライベートグループ
3.1.2. シャドウパスワード
3.2. ユーザー アカウントのツールを使う
3.2.1. アカウントの設定
3.2.2. 新規ユーザーを追加する
3.2.3. ユーザーの削除
3.3. ユーザー管理のツールを使う
3.3.1. ユーザーとグループを閲覧する
3.3.2. 新規ユーザーを追加する
3.3.3. 新規グループを追加する
3.3.4. ユーザーのプロパティを変更する
3.3.5. グループのプロパティを変更する
3.4. コマンドラインのツールを使う
3.4.1. 新規ユーザーを追加する
3.4.2. 新規グループを追加する
3.4.3. パスワードエージングの有効化
3.4.4. 自動ログアウトの有効化
3.4.5. グループ用ディレクトリーの作成
3.5. その他のリソース
3.5.1. インストールされているドキュメント
ユーザーとグループの管理は Fedora のシステム管理の中心的な要素です。本章は、グラフィカルユーザーインターフェースとコマンドラインにおいてユーザーとグループを追加、管理および削除する方法について説明しています。また、パスワードエージングやグループディレクトリの作成などの高度な話題を取り扱います。

3.1. ユーザーとグループのイントロダクション

ユーザーが人(アカウントが物理的なユーザーにひもづいていることを意味します)または特定のアプリケーションが使用するために存在するアカウントである一方、グループは共通の目的のために一緒なユーザーとひもづく組織の論理的な表現です。
各ユーザーはユーザー ID (UID) という一意な数値の識別番号と関連づけられます。同様に、各グループはグループ ID (GID) と関連づけられます。ファイルを作成するユーザーはそのファイルの所有者と所有グループになります。ファイルは所有者、グループおよび全員に対する読み込み、書き込みおよび実行のパーミッションを別々に割り当てられます。ファイル所有者は root によってのみ変更できます。また、アクセス権は root ユーザーとファイル所有者のどちらによっても変更できます。
さらに Fedora は、所有者以外の特定のユーザーに対してパーミッションを設定できるアクセス制御リスト (ACLs: access control lists) をファイルとディレクトリに対してサポートしています。この機能の詳細については、Storage Administration GuideAccess Control Lists の章を参照してください。

3.1.1. ユーザープライベートグループ

Fedora は、UNIX グループをより簡単に管理できる、ユーザープライベートグループ (UPG: user private group) スキーマを使用します。新規ユーザーがシステムに追加されるとき、ユーザープライベートグループが作成されます。それは作成されたユーザーと同じ名前を持ち、そのユーザーのみがユーザープライベートグループのメンバーです。
ユーザープライベートグループは新しく作成されたファイルやディレクトリに対してデフォルトのパーミッションを安全に設定します。ユーザーとユーザーのグループはどちらも、ファイルやディレクトリを変更できるようにします。
新しく作成されたファイルやディレクトリに適用されるパーミッションを決める設定は、umask と呼ばれ、/etc/bashrc ファイルにおいて設定されます。UNIX システムにおいては伝統的に、ファイルやディレクトリを作成したユーザーのみが変更をできる、umask022 に設定されます。このスキーマの下では、 作成者のグループのメンバーを含めてすべての他のユーザーはすべての変更が許可されません。しかしながら、UPG スキーマにおいては、すべてのユーザーが自分のプライベートグループを持つので、このグループ保護は必要ありません。

3.1.2. シャドウパスワード

複数のユーザーを持つ環境においてはとくに、システムの認証ファイルのセキュリティを向上させるために、shadow-utils パッケージにより提供されるシャドウパスワードを使用することは非常に重要です。このため、インストールプログラムはデフォルトでシャドウパスワードを有効にします。
以下は、UNIX ベースのシステムにおいてパスワードを保存する伝統的な方法に対してシャドウパスワードが持つ優位性の一覧です:
  • シャドウパスワードは暗号化されたパスワードハッシュを全体読み書き可能な /etc/passwd ファイルから root ユーザーのみが読み込み可能な /etc/shadow に移動することによりシステムセキュリティを向上させます。
  • シャドウパスワードはパスワードエージングに関する情報を保存します。
  • シャドウパスワードは /etc/login.defs ファイルがセキュリティポリシーを強制できます。
shadow-utils パッケージにより提供されるユーティリティの多くは、シャドウパスワードが有効かどうかによらず適切に機能します。しかしながら、パスワードエージング情報は /etc/shadow ファイルにだけ保存されるので、パスワードエージング情報を作成または変更するコマンドはすべて動作しません。以下は最初にシャドウパスワードを有効にしないと動作しないユーティリティとコマンドの一覧です:
  • chage ユーティリティ。
  • gpasswd ユーティリティ。
  • -e または -f オプションをつけた usermod コマンド。
  • -e または -f オプションをつけた useradd コマンド。