13/09/13

Gestin de usuarios y grupos - doc.ubuntu-es

Gestin de usuarios y grupos

De doc.ubuntu-es

Contenido
1 Gestin de usuarios y grupos 1.1 Aadir usuarios y grupos 1.2 Eliminar usuarios y grupos 1.3 Modificar usuarios y grupos 1.4 Ficheros relacionados con la gestin de usuarios y grupos 1.5 Algunos grupos especiales 1.6 Lmites a los usuarios 1.6.1 Ejemplos de lmites horarios 1.7 Lmites de quotas 1.7.1 Administrando el sistema de quotas 2 Fuente 3 Ver tambin

Gestin de usuarios y grupos

Aqu se presentan los aspectos bsicos para la gestin de usuarios y grupos de usuarios en el sistema Debian/Ubuntu a travs de la lnea de comandos, para consultar la gestin de usuarios de manera grfica, consulta Usuarios y grupos en Ubuntu.

Aadir usuarios y grupos

Para aadir usuarios y grupos al sistema se emplean los comandos adduser y addgroup. La operacin de estos comandos se configura en el fichero /etc/adduser.conf. Veamos algunos ejemplos:
a d d u s e rp e p e

aade el usuario pepe al sistema. El sistema pedir alguna informacin adicional sobre el usuario y un password o clave. Por defecto, se crea un grupo con el nombre del usuario y ste ser el grupo por defecto. Este comportamiento se configura en /etc/adduser.conf.
a d d u s e ri n g r o u pu s e r sp e p e

aade el usuario pepe al sistema estableciendo users como su grupo principal:

a d d u s e rp e p ec d r o m

doc.ubuntu-es.org/Gestin_de_usuarios_y_grupos

1/6

13/09/13

Gestin de usuarios y grupos - doc.ubuntu-es

aade el usuario pepe (previamente creado) al grupo cdrom. Cuando el nmero de usuarios es numeroso y heterogneo, puede ser necesario aadir nuevos grupos. Esto se hace con el comando addgroup. Por ejemplo:
a d d g r o u pa l u m n o s

aade al sistema un grupo llamado alumnos. Alternativamente a los comandos anteriores, se pueden aadir usuarios y grupos empleando useradd y groupadd. Estos comandos leen informacin de configuracin del fichero /etc/login.defs.

Eliminar usuarios y grupos

Para eliminar usuarios y grupos se emplean userdel y groupdel respectivamente. Por ejemplo: # userdel pepe elimina el usuario pepe. Si adems se indica la opcin -r, tambin se borrar el directorio personal del usuario con todo su contenido.
g r o u p d e la l u m n o s

elimina el grupo alumnos.

Modificar usuarios y grupos

Para modificar las caractersticas de los usuarios y grupos se emplean los comandos usermod y groupmod. Algunos ejemplos:
u s e r m o dd/ h o m e / p r o f e s / p e p em

cambia el directorio de inicio del usuario pepe para que sea /home/profes/pepe. La opcin -m hace que mueva el contenido del antiguo directorio al nuevo emplazamiento.
u s e r m o dgp r o f e sp e p e

cambia el grupo inicial del usuario pepe para que sea profes.
u s e r m o dlj o s e gp e p e

cambia el nombre del usuario pepe. El nuevo nombre es joseg.

g r o u p m o dnp r o f e s o r e sp r o f e s

cambia el nombre del grupo profes a profesores.

Ficheros relacionados con la gestin de usuarios y grupos

Algunos ficheros relacionados con las cuentas de usuario son: /etc/passwd: contiene informacin sobre cada usuario: ID, grupo principal, descripcin, directorio de inicio, shell, etc. Tambin contiene el password encriptado, salvo que se usen shadow passwords.
doc.ubuntu-es.org/Gestin_de_usuarios_y_grupos 2/6

13/09/13

Gestin de usuarios y grupos - doc.ubuntu-es

/etc/shadow: contiene los passwords encriptados de los usuarios cuando se emplean shadow passwords. /etc/group: contiene los miembros de cada grupo, excepto para el grupo principal, que aparece en /etc/passwd. /etc/skel: directorio que contiene el contenido del directorio de los nuevos usuarios.

Algunos grupos especiales

En el sistema existen algunos grupos especiales que sirven para controlar el acceso de los usuarios a distintos dispositivos. El control se consigue mediante los permisos adecuados a ficheros de dispositivo situados en /dev. Algunos de estos grupos son: cdrom: dispositivos de CDROM. El dispositivo concreto afectado depende de donde estn conectadas las unidades de CDROM. Por ejemplo, /dev/hdc. floppy: unidades de diskette, por ejemplo, /dev/fd0 dialout: puertos serie. Afecta, por ejemplo, a los modems externos conectados al sistema. Por ejemplo, /dev/ttyS1 audio: controla el acceso a dispositivos relacionados con la tarjeta de sonido. Por ejemplo, /dev/dsp, /dev/mixer y /dev/sndstat. Para dar acceso a un usuario a uno de estos servicios, basta con aadirlo al grupo adecuado. Por ejemplo, para dar acceso al usuario pepe a la disquetera haramos:
a d d u s e rp e p ef l o p p y

Alternativamente, para sistemas pequeos suele ser mejor desproteger los dispositivos adecuados para que todos los usuarios puedan usarlos, evitando tener que recordar aadir usuarios a los grupos adecuados. Por ejemplo, para dar acceso de lectura al CDROM (suponiendo que est en /dev/hdc) y de lectura/escritura a la disquetera a todos los usuarios, haramos:
c h m o da + r/ d e v / h d c c h m o da + r w/ d e v / f d 0 *

Lmites a los usuarios

En los sitemas UNIX/LINUX existe la posibilidad de limitar recursos a los usuarios o grupos, por ejemplo, el mximo nmero de logins que puede realizar simultneamente un usuario, el mximo tiempo de CPU, el mximo nmero de procesos etc. Estos lmites se controlan en LINUX a travs del fichero /etc/security/limits.conf. Tambin es posible limitar los tiempos de acceso a los usuarios. Una de las formas de hacerlo es con el servicio timeoutd. Este servicio se instala a travs de la distribucin y, una vez instalado aparece un fichero de configuracin /etc/timeouts. En este fichero de configuracin las lneas en blanco o que comienzan por # no son interpretadas. El resto de las lneas debe tener alguna de las dos siguientes sintaxis:
T I M E S : T T Y S : U S E R S : G R O U P S : M A X I D L E : M A X S E S S : M A X D A Y : W A R N

o bien
T I M E S : T T Y S : U S E R S : G R O U P S : L O G I N S T A T U S

doc.ubuntu-es.org/Gestin_de_usuarios_y_grupos

3/6

13/09/13

Gestin de usuarios y grupos - doc.ubuntu-es

En la pgina de manual timeouts(8) se explica el significado de cada uno de los campos en estas lneas.
Ejemplos de lmites horarios

El usuario curso no puede hacer login durante el fin de semana:

S a S u : * : c u r s o : * : N O L O G I N

Slo el usuario root puede acceder desde las consolas tty1tty6:

A l : t t y 1 , t t y 2 , t t y 3 , t t y 4 , t t y 5 , t t y 6 : r o o t : * : L O G I N A l : t t y 1 , t t y 2 , t t y 3 , t t y 4 , t t y 5 , t t y 6 : * : * : N O L O G I N

Slo el usuario root puede acceder entre las 15:00 y las 16:00h de cada da:
A l 1 5 0 0 1 6 0 0 : * : r o o t : * : L O G I N A l 1 5 0 0 1 6 0 0 : * : * : * : N O L O G I N

Una vez que se ha preparado el fichero /etc/timeouts es necesario reiniciar el servidor timeoutd:
/ e t c / i n i t . d / t i m e o u t dr e s t a r t S t o p p e d/ u s r / s b i n / t i m e o u t d( p i d2 4 1 2 ) . S t a r t i n g/ u s r / s b i n / t i m e o u t d . . .

Es importante destacar que este proceso no acta durante el proceso de login lo que da lugar a que, aunque un usuario tenga prohibido el acceso a una mquina en un momento determinado, inicialmente puede entrar y slo, una vez que se ejecute el proceso timeoutd, ser expulsado del sistema. Para conseguir que durante el proceso de login se revisen las condiciones de timeouts se debe incluir las siguientes lneas en el fichero /etc/profile:
#C o m p r u e b ar e s t r i c c i o n e sd et i m e o u t d( v e rt i m e o u t d ,t i m e o u t s ( 5 ) ) / u s r / s b i n / t i m e o u t d w h o a m i b a s e n a m e\ t t y \ | |e x i t

Con esta lnea incluso aunque el servicio timeoutd este parado si en el fichero /etc/timeouts se prohbe el acceso a un usuario ste no podr entrar en el sistema.

Lmites de quotas
El sistema de quotas provee un mecanismo de control y uso del espacio de disco duro disponible en un sistema. Se pueden establecer lmites en la cantidad de espacio y el nmero de ficheros de que puede disponer un usuario o grupo. En las quotas hay cuatro nmeros para cada lmite: la cantidad actual ocupada; el lmite soft (quota propiamente dicha); el lmite hard (espacio sobre quota), y el tiempo que resta antes de eliminar el exceso entre soft y hard. Mientras que el lmite soft puede ser superado temporalmente, el lmite hard nunca puede rebasarse. Administrando el sistema de quotas

doc.ubuntu-es.org/Gestin_de_usuarios_y_grupos

4/6

13/09/13

Gestin de usuarios y grupos - doc.ubuntu-es

Para implementar el sistema de quotas es necesario instalar algn paquete de control de dicho sistema. En Ubuntu hay un paquete denominado quota que instala todo lo necesario para implementar todo el sistema. Una vez instalado tenemos que realizar una serie de pasos para activar el mecanismo de quotas. Estos pasos son: Configuracin de kernel Antes de instalar el sistema de quotas debe disponerse de un kernel con la opcin de quotasystem habilitada. Esto se consigue en el proceso de compilacin de un nuevo kernel respondiendo yes a la pregunta de Disk QUOTA support. Los kernels precompilados que se distribuyen con Debian (paquetes kernel-image.) ya tienen esta opcin habilitada. Eleccin del sistema de ficheros sobre el que se aplican las quotas Una vez dispuesto el kernel, hay que seleccionar qu sistema de ficheros necesitan tener aplicadas las quotas. Lo normal es que solo el sistema donde estn las cuentas de usuarios tengan quotas, aunque es recomendable que tenga quotas todo sistema de ficheros donde los usuarios puedan escribir. Para habilitar las quotas en un sistema de ficheros hay que editar el fichero /etc/fstab e incluir las opciones usrquota y grpquota:
#/ e t c / f s t a b :s t a t i cf i l es y s t e mi n f o r m a t i o n . #f i l es y s t e mm o u n tp o i n tt y p eo p t i o n s / d e v / h d a 5/ e x t 2 d e f a u l t s , e r r o r s = r e m o u n t r o , u s r q u o t a , g r p q u o t a0

d u m p

Habilitar las quotas Para instalar los ficheros de quotas se debe ejecutar el comando:
q u o t a c h e c ka v u g S c a n n i n g/ d e v / h d a 5[ / ]d o n e C h e c k e d4 9 4 3d i r e c t o r i e sa n d5 7 6 2 4f i l e s U s i n gq u o t a f i l e/ q u o t a . u s e r U p d a t i n gi n c o r eu s e rq u o t a s U s i n gq u o t a f i l e/ q u o t a . g r o u p U p d a t i n gi n c o r eg r o u pq u o t a s

La primera vez que se ejecuta este comando sirve para crear los ficheros de quotas: quota.user y quota.group. Especificar quotas para usuarios o grupos Para editar la quota de un usuario o grupo se usa el programa edquota con la opcin -u para editar las quotas de usuarios y con la opcin -g para editar las opciones de grupo. Slo hay que editar los nmeros que estn detrs de soft y hard. El perodo de gracia que hay entre el lmite soft y el hard puede cambiarse con:
e d q u o t at

La mayora de las veces los usuarios tienen la misma quota. Una forma rpida de editar la quota de todos los usuarios es colocarse en el directorio donde tienen sus directorios raz cada usuario. Editar la quota de uno de estos usuarios con los valores apropiados y, posteriormente, ejecutar:
e d q u o t apu s u a r i o p r o t o t i p o*

Para verificar las quotas que tiene un usuario se utiliza el comando:

doc.ubuntu-es.org/Gestin_de_usuarios_y_grupos 5/6

13/09/13

Gestin de usuarios y grupos - doc.ubuntu-es

q u o t av

El superusuario puede ver las quotas de todos los usuarios con el comando:
r e p q u o t af i l e s y s t e m

Deshabilitar quotas para usuarios o grupos Para deshabilitar las quotas de un usuario o grupo solo hay que editar las quotas y poner los lmites a 0. As un usuario puede usar tantos bloques e inodos como quiera.

Fuente
Gua de administracin de Debian GNU/Linux Jorge Juan Chico <jjchico@imse.cnm.es> Manuel J. Bellido Daz <bellido@imse.cnm.es> sobre licencia

Ver tambin
Usuarios y grupos Permisos Obtenido de http://doc.ubuntu-es.org/index.php? title=Gesti%C3%B3n_de_usuarios_y_grupos&oldid=15358 Categoras: Usuarios, grupos y permisos Completar

doc.ubuntu-es.org/Gestin_de_usuarios_y_grupos

6/6