<HTML>
<HEAD>
<TITLE>Faire en sorte que la suite shadow fonctionne </TITLE>
</HEAD>
<BODY>
<A NAME="sec-fonction"></A> <H1>7. <A NAME="s7"></A>Faire en sorte que la suite shadow fonctionne </H1>
<P>
<A HREF="Shadow-Password-HOWTO.html#toc7">Contenu de cette section</A></P>
<P>Cette section explique quelques éléments que vous
souhaitez savoir depuis que vous avez la suite shadow sur votre
système. De plus amples informations sont disponibles dans les
pages de manuels.</P>
<H2>7.1 <A NAME="ss7.1"></A> Ajouter, modifier, et supprimer des utilisateurs.</H2>
<P>La <EM>Suite Shadow</EM> a ajouté les commandes suivantes qui
sont orientées ``ligne de commande'', pour ajouter, modifier et
supprimer des utilisateurs. Vous avez aussi sûrement dû
installer le programme <CODE>adduser</CODE>.</P>
<H3>useradd</H3>
<P>la commande <CODE>useradd</CODE> peut être utilisée pour
ajouter des utilisateurs à votre système. Vous appelez
aussi cette commande pour changer les paramètres par
défaut.</P>
<P>La première chose à faire est d'examiner les
paramètres par défaut et effectuer des changements pour
votre propre système.
<BLOCKQUOTE><CODE>
<PRE>
useradd -D
</PRE>
</CODE></BLOCKQUOTE>
<HR>
<PRE>
GROUP=1
HOME=/home
INACTIVE=0
EXPIRE=0
SHELL=
SKEL=/etc/skel
</PRE>
<HR>
</P>
<P>Les paramètres par défauts ne sont probablements pas ceux que
vous souhaitez, donc, si vous commencez à ajouter des
utilisateurs maintenant, vous aurez à spécifier toutes
les informations pour chacun d'entre eux. C'est pour cela que nous
pouvons et devons changer les valeurs par défaut.</P>
<P>Sur mon sytème:
<UL>
<LI>Je veux que le groupe par défaut soit 100,</LI>
<LI>Je veux que les mots de passe expirent au bout de 60 jours,</LI>
<LI>Je ne veux pas que le compte soit bloqué lors de
l'expiration du mot de passe,</LI>
<LI>Je veux que le shell par défaut soit <CODE>/bin/bash</CODE></LI>
</UL>
Pour effectuer ces changements, j'ai dû utiliser:
<BLOCKQUOTE><CODE>
<PRE>
useradd -D -g100 -e60 -f0 -s/bin/bash
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Maintenant, lancer <CODE>useradd -D</CODE> donne:
<HR>
<PRE>
GROUP=100
HOME=/home
INACTIVE=0
EXPIRE=60
SHELL=/bin/bash
SKEL=/etc/skel
</PRE>
<HR>
</P>
<P>Ces valeurs par défaut sont stockées dans le fichier
<CODE>/etc/defaults/useradd</CODE></P>
<P>Maintenant vous pouvez utiliser <CODE>useradd</CODE> pour ajouter des
utilisateurs à votre système. Par exemple, pour ajouter
l'utilisateur <CODE>fred</CODE>, en utilisant les valeurs par
défaut, vous devez utiliser ce qui suit:
<BLOCKQUOTE><CODE>
<PRE>
useradd -m -c "Fred Flintstone" fred
</PRE>
</CODE></BLOCKQUOTE>
Cela créera une entrée dans le fichier
<CODE>/etc/passwd</CODE>:
<BLOCKQUOTE><CODE>
<PRE>
fred:*:505:100:Fred Flintstone:/home/fred:/bin/bash
</PRE>
</CODE></BLOCKQUOTE>
Ainsi que cette entrée dans le fichier <CODE>/etc/shadow</CODE>:
<BLOCKQUOTE><CODE>
<PRE>
fred:!:0:0:60:0:0:0:0
</PRE>
</CODE></BLOCKQUOTE>
Le répertoire d'accueil de <CODE>fred</CODE>sera créé
et le contenu de <CODE>/etc/skel</CODE> sera copié à cet
endroit grâce à l'option <CODE>-m</CODE></P>
<P>De plus, lorsque l'on ne spécifie pas l'IUD, le prochain
disponible est utilisé.</P>
<P>Le compte de <CODE>fred</CODE> est maintenant créé, mais
<CODE>fred</CODE> ne peut pas se loger tant que nous ne
dévérouillons pas le compte. Nous effectuons cela en
changeant le mot de passe.
<BLOCKQUOTE><CODE>
<PRE>
passwd fred
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>
<HR>
<PRE>
Changing password for fred
Enter the new password (minimum of 5 characters)
Please use a combination of upper and lower case letters and numbers.
New Password: *******
Re-enter new password: *******
</PRE>
<HR>
</P>
<P>Maintenant <CODE>/etc/shadow</CODE> contient:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
fred:J0C.WDR1amIt6:9559:0:60:0:0:0:0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P><CODE>fred</CODE> est maintenant capable de se connecter et d'utiliser le
système. La chose intéressante à propos de <CODE>useradd</CODE>
et des autres programmes provenant de la Suite Shadow, est qu'ils
effectuent les changements dans les fichiers <CODE>/etc/passwd</CODE> et
<CODE>/etc/shadow</CODE> automatiquement. Donc si vous ajoutez un
utilisateur, et qu'un autre utilisateur change son mot de passe au
même moment, les deux opérations sont effectuées
correctement.</P>
<P>Vous devriez plutôt utiliser les commandes fournies
qu'éditer directement les fichier <CODE>/etc/passwd</CODE> et
<CODE>/etc/shadow</CODE>. Si vous éditez le fichier
<CODE>/etc/shadow</CODE> et qu'un utilisateur change son mot de passe au
même moment, ce que vous sauverez, sera bien dans le fichier
mais, le nouveau mot de passe de l'utilisateur sera perdu.</P>
<P>Voici un petit script intéractif permettant d'ajouter des utilisateurs
en utilisant les commandes <CODE>useradd</CODE> et <CODE>passwd</CODE>:</P>
<P>
<HR>
<PRE>
#!/bin/bash
#
# /sbin/newuser - A script to add users to the system using the Shadow
# Suite's useradd and passwd commands.
#
# Written my Mike Jackson <mhjack@tscnet.com> as an example for the Linux
# Shadow Password Howto. Permission to use and modify is expressly granted.
#
# This could be modified to show the defaults and allow modification similar
# to the Slackware Adduser program. It could also be modified to disallow
# stupid entries. (i.e. better error checking).
#
##
# Defaults for the useradd command
##
GROUP=100 # Default Group
HOME=/home # Home directory location (/home/username)
SKEL=/etc/skel # Skeleton Directory
INACTIVE=0 # Days after password expires to disable account (0=never)
EXPIRE=60 # Days that a passwords lasts
SHELL=/bin/bash # Default Shell (full path)
##
# Defaults for the passwd command
##
PASSMIN=0 # Days between password changes
PASSWARN=14 # Days before password expires that a warning is given
##
# Ensure that root is running the script.
##
WHOAMI=`/usr/bin/whoami`
if [ $WHOAMI != "root" ]; then
echo "You must be root to add news users!"
exit 1
fi
##
# Ask for username and fullname.
##
echo ""
echo -n "Username: "
read USERNAME
echo -n "Full name: "
read FULLNAME
#
echo "Adding user: $USERNAME."
#
# Note that the "" around $FULLNAME is required because this field is
# almost always going to contain at least on space, and without the
# the useradd command would think that you we moving on to the next
# parameter when it reached the SPACE character.
#
/usr/sbin/useradd -c"$FULLNAME" -d$HOME/$USERNAME -e$EXPIRE \
-f$INACTIVE -g$GROUP -m -k$SKEL -s$SHELL $USERNAME
##
# Set password defaults
##
/bin/passwd -n $PASSMIN -w $PASSWARN $USERNAME >/dev/null 2>&1
##
# Let the passwd command actually ask for password (twice)
##
/bin/passwd $USERNAME
##
# Show what was done.
##
echo ""
echo "Entry from /etc/passwd:"
echo -n " "
grep "$USERNAME:" /etc/passwd
echo "Entry from /etc/shadow:"
echo -n " "
grep "$USERNAME:" /etc/shadow
echo "Summary output of the passwd command:"
echo -n " "
passwd -S $USERNAME
echo ""
</PRE>
<HR>
</P>
<P>Utiliser un script pour ajouter des utilisateurs est
préférable à l'édition des fichiers
<CODE>/etc/passwd</CODE> et <CODE>/etc/shadow</CODE> ainsi qu'à l'utilisation
de programmes comme <CODE>adduser</CODE> de la distribution
Slackware. </P>
<P>Vous êtes libre d'utiliser et de modifier le script
à en fonction de votre système.</P>
<P>Pour plus d'informations sur <CODE>useradd</CODE>, consultez le manuel en
ligne.</P>
<P></P>
<H3>usermod</H3>
<P>Le programme <CODE>usermod</CODE> est utilisé pour modifier les
informations relatives à un utilisateur. Les options sont les
mêmes que pour <CODE>useradd</CODE>.</P>
<P>Disons que l'on souhaite changer le shell de <CODE>fred</CODE>. Vous
devrez faire la chose suivante:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
usermod -s /bin/tcsh fred
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Maintenant l'entrée concernant <CODE>fred</CODE> dans le fichier
<CODE>/etc/passwd</CODE> est devenue:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
fred:*:505:100:Fred
Flintstone:/home/fred:/bin/tcsh
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>On change la date d'expiration du compte au 15/09/97:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
usermod -e 09/15/97 fred
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Maintenant l'entrée concernant <CODE>fred</CODE> dans le fichier
<CODE>/etc/shadow</CODE> est devenue:
<BLOCKQUOTE><CODE>
<PRE>
fred:J0C.WDR1amIt6:9559:0:60:0:0:10119:0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Pour plus d'informations concernant <CODE>usermod</CODE>, consultez la
page de manuel en ligne.</P>
<P></P>
<H3>userdel</H3>
<P><CODE>userdel</CODE> fait exactement ce que vous voulez, il efface le
compte d'un utilisateur. Utilisez simplement:
<BLOCKQUOTE><CODE>
<PRE>
userdel -r username
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>L'option <CODE>-r</CODE> implique que tous les fichiers du
répertoire d'accueil d'un utilisateur seront
effacés. Les fichiers situés en dehors du
répertoire d'accueil devront être cherchés et
effacés manuellement.</P>
<P>Si vous souhaitez simplement vérouiller un compte au lieu de
l'effacer, utilisez la commande <CODE>passwd</CODE>.</P>
<P></P>
<H2>7.2 <A NAME="ss7.2"></A> La commande passwd et la durée du mot de passe.</H2>
<P>La commande <CODE>passwd</CODE> a pour but de changer les mots de passe. De
plus, elle est utilisée par l'utilisateur <SF>root</SF> pour:
<UL>
<LI>Vérouiller et dévérouiller des comptes (-l
et -u),</LI>
<LI>Définir le nombre de jours de validité d'un mot de
passe (-x),</LI>
<LI>Définir le nombre de jours minimums pour le changement de
mot de passe (-n),</LI>
<LI>Définir le nombre de jours d'alerte concernant
l'expiration d'un mot de passe(-w),</LI>
<LI>Définir le nombre de jours après que le mot de
passe soit expiré pour vérouiller le compte(-i),</LI>
<LI>Permettre de voir les informations concernant un utilisateur
dans un format clair(-S).</LI>
</UL>
</P>
<P>Par exemple, jetons un coup d'oeil à <CODE>fred</CODE>:
<BLOCKQUOTE><CODE>
<PRE>
passwd -S fred
fred P 03/04/96 0 60 0 0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Cela signifie que le mot de passe de <CODE>fred</CODE> est valide, qu'il a
été changé pour la dernière fois le
04/03/96, qu'il peut être changé à n'importe quel
moment, qu'il expire au bout de 60 jours, que <CODE>fred</CODE> ne sera
pas averti, et que le compte ne sera pas vérouillé lors
de l'expiration du mot de passe.</P>
<P>Cela veut simplement dire que si <CODE>fred</CODE> se loge après
l'expiration de son mot de passe, il lui sera demandé de taper
un nouveau mot de passe.</P>
<P>Si nous souhaitons prévenir <CODE>fred</CODE> 14 jours avant
l'expiration de son mot de passe, et vérouiller son compte 14
jours après l'avoir laissé expiré, nous devrions
faire la chose suivante:
<BLOCKQUOTE><CODE>
<PRE>
passwd -w14 -i14 fred
</PRE>
</CODE></BLOCKQUOTE>
Maintenant les informations concernant <CODE>fred</CODE> sont
changées en:
<BLOCKQUOTE><CODE>
<PRE>
fred P 03/04/96 0 60 14 14
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Pour de plus amples informations concernant <CODE>passwd</CODE>, se
référer au manuel en ligne.</P>
<P></P>
<H2>7.3 <A NAME="ss7.3"></A> Le fichier login.defs</H2>
<P>Le fichier <CODE>/etc/login.defs</CODE> est le fichier de configuration du
programme <CODE>login</CODE> ainsi que celui de toute le <EM>Suite
Shadow</EM>. </P>
<P>Le fichier <CODE>/etc/login.defs</CODE> contient les paramètres
allant de l'apparance de l'invite à l'expiration par
défaut concernant les mots de passe utilisateurs.</P>
<P>Le fichier <CODE>/etc/login.defs</CODE> est assez bien documenté de
part ses propres commentaires. De plus, il y a quelques points a
noter:
<UL>
<LI>Il contient des drapeaux qui peuvent être activé ou
désactivé concernant la taille de journalisation,</LI>
<LI>Il contient des pointeurs sur d'autres fichiers de
configuration,</LI>
<LI>Il contient les valeurs par défaut comme la
durée d'un mot de passe.</LI>
</UL>
</P>
<P>Des informations précédantes on peut en déduire
que c'est un fichier important, vous devez être sûr
qu'il existe et que les valeurs sont celles que vous désirez
pour votre système.</P>
<P></P>
<H2>7.4 <A NAME="ss7.4"></A> Les mots de passe pour les groupes</H2>
<P>Le fichier <CODE>/etc/groups</CODE> peut contenir des mots de passe
permettant à un utilisateur de devenir un membre d'un groupe
particulier. Cette fonction est validée si vous
validez la constante <CODE>SHADOWGRP</CODE> dans le fichier
<CODE>/usr/src/shadow-AAMMJJ/config.h</CODE>.</P>
<P>Si vous définissez cette constante et que vous compilez, vous
devez créer un fichier <CODE>/etc/gshadow</CODE> pour stocker les
mots de passe pour les groupes, ainsi que les informations concernant
l'administration du groupe.</P>
<P>Lorsque vous avez créé le fichier <CODE>/etc/shadow</CODE>,
vous avez utilisé un programme appelé <CODE>pwconv</CODE>,
il n'y a pas d'équivalent pour créer le fichier
<CODE>/etc/gshadow</CODE>, mais ce n'est pas grave.</P>
<P>Pour créer le fichier <CODE>/etc/gshadow</CODE> initial, faites la
chose suivante:
<BLOCKQUOTE><CODE>
<PRE>
touch /etc/gshadow
chown root.root /etc/gshadow
chmod 700 /etc/gshadow
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Une fois que vous créez un nouveau groupe, il sera
ajouté dans le fichier <CODE>/etc/group</CODE> ainsi que dans le
fichier <CODE>/etc/gshadow</CODE>. Si vous modifiez un groupe en ajoutant,
retirant, ou en changeant le mot de passe du groupe, le fichier
<CODE>/etc/gshadow</CODE> sera changé.</P>
<P>Les programmes <CODE>groups</CODE>, <CODE>groupadd</CODE>, <CODE>groupmod</CODE>,
et <CODE>groupdel</CODE> sont fournis dans la <EM>Suite Shadow</EM> pour
modifier les groupes.</P>
<P>Le format du fichier <CODE>/etc/group</CODE> est:
<BLOCKQUOTE><CODE>
<PRE>
groupname:!:GID:member,member,...
</PRE>
</CODE></BLOCKQUOTE>
où:
<DL>
<DT><B><CODE>groupname</CODE></B><DD><P>Le nom du groupe,</P>
<DT><B><CODE>!</CODE></B><DD><P>Le champs contenant normalement le mot de passe
qui est maintenant stocké dans le fichier <CODE>/etc/gshadow</CODE>,</P>
<DT><B><CODE>GID</CODE></B><DD><P>L'identificateur numérique du groupe,</P>
<DT><B><CODE>member</CODE></B><DD><P>La liste des membres du groupe.</P>
</DL>
</P>
<P>Le format du fichier <CODE>/etc/gshadow</CODE> est:
<BLOCKQUOTE><CODE>
<PRE>
groupname:password:admin,admin,...:member,member,...
</PRE>
</CODE></BLOCKQUOTE>
où:
<DL>
<DT><B><CODE>groupname</CODE></B><DD><P>Le nom du groupe,</P>
<DT><B><CODE>password</CODE></B><DD><P>Le mot de passe encodé,</P>
<DT><B><CODE>admin</CODE></B><DD><P>La liste des administrateurs de groupe,</P>
<DT><B><CODE>member</CODE></B><DD><P>La liste des membres du groupe.</P>
</DL>
</P>
<P>La commande <CODE>gpasswd</CODE> est utilisée pour ajouter, retirer
des administrateurs et des membres d'un groupe. <SF>root</SF> ou un
administrateur du groupe peut ajouter ou retirer des membres du groupe.</P>
<P>Le mot de passe du groupe peut être changé en utilisant
le programme <CODE>passwd</CODE> par <SF>root</SF> ou un administrateur du
groupe.</P>
<P>En dépit du fait qu'il n'y ait pas encore de page de manuel
pour <CODE>gpasswd</CODE>, tapez <CODE>gpasswd</CODE> sans paramètres
pour obtenir la liste des options. C'est relativement facile de
comprendre comment tout marche un fois que vous avez compris le format
du fichier et les concepts.</P>
<P></P>
<H2>7.5 <A NAME="ss7.5"></A> Programmes de vérification de la structure</H2>
<P></P>
<H3>pwck</H3>
<P>Le programme <CODE>pwck</CODE> est fourni pour vérifier la
cohérence des fichiers <CODE>/etc/passwd</CODE> et
<CODE>/etc/shadow</CODE>. Il vérifie chaque nom d'utilisateur
ainsi que les points suivants:
<UL>
<LI>Le nombre correct de champs,</LI>
<LI>Nom unique,</LI>
<LI>Nom et groupe valide,</LI>
<LI>Groupe primaire valide,</LI>
<LI>Répertoire d'accueil valide,</LI>
<LI>Shell valide.</LI>
</UL>
</P>
<P>Il prévient aussi lorsqu'un compte ne possède pas de mot
de passe.</P>
<P>C'est une bonne idée de lancer <CODE>pwck</CODE> après avoir
installé la <EM>Suite Shadow</EM>. C'est aussi une bonne
idée de le lancer périodiquement, une fois par semaine
ou par mois. Si vous utilisez l'option <CODE>-r</CODE>, vous pouvez
utiliser <CODE>cron</CODE> pour lancer une analyse régulière
et avoir un rapport sous forme de courrier.</P>
<P></P>
<H3>grpck</H3>
<P><CODE>grpck</CODE> est le programme de vérification de la
cohérance des fichiers <CODE>/etc/group</CODE> et
<CODE>/etc/gshadow</CODE>. Il effectue les vérifications suivantes:
<UL>
<LI>Le nombre correct de champs,</LI>
<LI>Unicité du nom de groupe,</LI>
<LI>Validité de la liste des membres et des administrateurs.</LI>
</UL>
</P>
<P>Il possède aussi l'option <CODE>-r</CODE> pour des rapports
automatiques.</P>
<P></P>
<H2>7.6 <A NAME="ss7.6"></A> Les mots de passe "Accès à distance"</H2>
<P>Les mots de passe "Accès à distance" sont une autre
ligne de défense des systèmes permettant la connexion
à distance. Si vous avez un système qui permet à
des utilisateurs de se connecter localement ou par
l'intermédiaire d'un réseau, mais vous voulez
contrôler qui peut appeler et se connecter, les mots de passe
"Accès à distance" sont pour vous. Pour valider les mots
de passe "Accès à distance", vous devez éditer le
fichier <CODE>/etc/login.defs</CODE> et vous assurer que
<CODE>DIALUPS_CHECK_ENAB</CODE> est positionnée à <CODE>yes</CODE>.</P>
<P>Les deux fichiers contenant les informations d'accès à
distance sont <CODE>/etc/dialups</CODE> et <CODE>/etc/d_passwd</CODE>.
Le fichier <CODE>/etc/dialups</CODE> contient les terminaux (un par ligne, avec
l'entête "<CODE>/dev/</CODE>" supprimé). Si un terminal est
listé alors, la vérification d'accès à
distance est effectuée;.</P>
<P>Le second fichier <CODE>/etc/d_passwd</CODE> contient le chemin complet
d'un shell, suivit d'un mot de passe optionnel.</P>
<P>Si un utilisateur se connecte à un terminal décrit dans une ligne du
fichier <CODE>/etc/dialup</CODE> et que son shell est listé dans le
fichier <CODE>/etc/d_passwd</CODE> alors l'accès lui est autorisé en
fournissant le mot de passe correct.</P>
<P>Une autre possibilité utile des mots de passe "Accès
à distance" est de spécifier un ligne qui ne permet
qu'un certain type de connexion (PPP, ou UUCP par exemple). Si un
utilisateur essaye d'avoir un autre type de connexion, (ie. une liste
de shell), il doit connaitre un mot de passe pour l'utiliser.</P>
<P>Avant de pouvoir utiliser les possibilités de l'accès
à distance, vous devez créer les fichiers.</P>
<P>La commande <CODE>dpaswd</CODE> est fournie pour assigner un mot de passe
à un shell dans le fichier <CODE>d_passwd</CODE>. Lisez le manuel
en ligne pour de plus amples informations.</P>
<P></P>
<HR>
<P>
Chapitre <A HREF="Shadow-Password-HOWTO-8.html">suivant</A>,
Chapitre <A HREF="Shadow-Password-HOWTO-6.html">Précédent</A>
<P>
Table des matières de <A HREF="Shadow-Password-HOWTO.html#toc7">ce chapitre</A>,
<A HREF="Shadow-Password-HOWTO.html#toc">Table des matières</A> générale</P>
<P>
<A HREF="Shadow-Password-HOWTO.html">Début</A> du document,
<A HREF="#0"> Début de ce chapitre</A></P>
</BODY>
</HTML>
