linux新增用户设置权限与生成公钥私钥
一、新建用户与权限修改
用户账号的管理工作主要涉及到用户账号的添加、修改和删除。添加用户账号就是在系统中创建一个新账号,然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的,无法使用。
1添加新的用户账号使用useradd命令
添加用户账号就是在/etc/passwd文件中为新用户增加一条记录,同时更新其他系统文件如/etc/shadow, /etc/group等。
Linux提供了集成的系统管理工具userconf,它可以用来对用户账号进行统一管理。
语法:
useradd选项用户名
语义:
-c comment 指定一段注释性描述。
-d 目录指定用户主目录,如果此目录不存在,则同时使用-选项,可以创建主目录。
-g 用户组指定用户所属的用户组。
-G 用户组用户组指定用户所属的附加组。
-s Shell文件指定用户的登录Shell。
-u 用户号指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号。
用户名指定新用户的登录名。
例1:
$ useradd–d /usr/sam -m sam
释义:
此命令创建了一个用户sam,
其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam(/usr为默认的用户主目录所在的父目录)。
例2:
$ useradd -s /bin/sh -g group -G adm,root gem
释义:
此命令新建了一个用户gem, 该用户的登录Shell是/bin/sh,它属于group用户组,同时又属于adm和root用户组,其中group用户组是其主组。
新建用户组可用命令:
$ groupadd group
$ groupadd adm
2、删除帐号
如果一个用户的账号不再使用,可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除,必要时还删除用户的主目录。
语法:
userdel选项用户名
选项:
-r, 把用户的主目录一起删除。
例1:
$ userdel -r sam
释义:
此命令删除用户sam在系统文件中(主要是/etc/passwd, /etc/shadow, /etc/group等)的记录,同时删除用户的主目录。
3、修改帐号
修改用户账号就是根据实际情况更改用户的有关属性,如用户号、主目录、用户组、登录Shell等。
修改已有用户的信息使用usermod命令.
语法:
usermod选项用户名
选项:
包括-c, -d, -m, -g, -G, -s, -u以及-o等,
这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。
另外,有些系统可以使用如下选项:
-l 新用户名指定一个新的账号,即将原来的用户名改为新的用户名。
例如:
$ usermod -s /bin/ksh -d /home/z -g developer sam
释义:
此命令将用户sam的:
登录Shell修改为ksh,
主目录改为/home/z,
用户组改为developer.
4、给已有的用户增加工作组
usermod -G groupname username
或者:gpasswd -a user group
5、用户口令的管理
用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令,但是被系统锁定,无法使用,必须为其指定口令后才可以使用,即使是指定空口令。指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令,普通用户只能用它修改自己的口令。
语法:
passwd选项用户名
选项:
-l 锁定口令,即禁用账号。
-u 口令解锁。
-d 使账号无口令。
-f 强迫用户下次登录时修改口令。
如果默认用户名,则修改当前用户的口令。
例如:
假设当前用户是sam,
则下面的命令修改该用户自己的口令:
$ passwd
Old password:******
New password:*******
Re-enter new password:*******
如果是超级用户,可以用下列形式指定任何用户的口令:
$passwdsam
New password:*******
Re-enter new password:*******
普通用户修改自己的口令时,
passwd命令会先询问原口令,验证后再要求用户输入两遍新口令,如果两次输入的口令一致,则将这个口令指定给用户;而超级用户为用户指定口令时,就不需要知道原口令。
例如1:
为用户指定空口令时,执行下列形式的命令:
$passwd -d sam
释义:
此命令将用户sam的口令删除,这样用户sam下一次登录时,系统就不再询问口令。passwd 命令还可以用-l(lock)选项锁定某一用户,使其不能登录,例如:
例如2:
$ passwd -l sam
二、Linux系统用户组的管理
每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。
不同Linux 系统对用户组的规定有所不同,
如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。
用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。
1、增加一个新的用户组使用groupadd命令。
语法:
groupadd选项用户组
选项:
-g GID 指定新用户组的组标识号(GID)。
-o 一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。
例1:
$ groupadd group1
释义:
此命令向系统中增加了一个新组group1,新组的组标识号是在当前已有的最大组标识号的基础上加1。
例2:
$ groupadd -g 101 group2
释义:
此命令向系统中增加了一个新组group2,同时指定新组的组标识号是101。
2、如果要删除一个已有的用户组,使用groupdel命令.
语法:
groupdel用户组
例1:
$ groupdel group1
释义:
此命令从系统中删除组group1。
3.修改用户组的属性使用groupmod命令。
语法:
groupmod选项用户组
选项:
-g GID 为用户组指定新的组标识号。
-o 与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
-n 新用户组将用户组的名字改为新名字
例1:
$ groupmod -g 102 group2
释义:
此命令将组group2的组标识号修改为102。
例2:
$ groupmod–g 10000 -n group3 group2
释义:
此命令将组group2的标识号改为10000,组名修改为group3。
4.如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。
用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。
例如:
$ newgrp root
释义:
这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。
类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。
三、创建SSH公钥私钥,并禁止SSH远程密码登陆
1、为一般用户创建Key(这里以tomcat用户为例)
[root@***** ~]# su - tomcat←登录为一般用户tomcat
[tomcat@***** ~]$ ssh-keygen -t rsa←建立公钥与私钥
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kaz/.ssh/id_rsa): ←钥匙的文件名,这里保持默认直接回车
Created directory '/home/kaz/.ssh'
Enter passphrase (empty for no passphrase): ←输入口令
Enter same passphrase again: ←再次输入口令
Your identification has been saved in /home/kaz/.ssh/id_rsa.
Your public key has been saved in /home/kaz/.ssh/id_rsa.pub.
The key fingerprint is:
tf:rs:e3:7s:28:59:5s:93:fe:33:84:01:cj:65:3b:8e tomcat@*.*.com
然后确认一下公钥与密钥的建立,以及对应于客户端的一些处理。
[tomcat@***** ~]$ cd ~/.ssh←进入用户SSH配置文件的目录
[tomcat@***** .ssh]$ ls -l←列出文件
total 16
-rw------- 1tomcattomcat 951 Sep 4 19:22 id_rsa←确认私钥已被建立
-rw-r--r-- 1tomcattomcat 241 Sep 4 19:22 id_rsa.pub←确认公钥已被建立
[tomcat@***** .ssh]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys←公钥内容输出到相应文件中
[tomcat@***** .ssh]$ rm -f ~/.ssh/id_rsa.pub←删除原来的公钥文件
[tomcat@***** .ssh]$ chmod 400 ~/.ssh/authorized_keys←将新建立的公钥文件属性设置为400
然后使用ftp或者其他方式将私钥存到PC(这里推荐使用sz及rz命令)
2、为超级(root)用户创建Key
方法同上
3、更改SSH配置文件
[root@**** ~]# vi /etc/ssh/sshd_config←用vi打开SSH的配置文件
#Protocol 2,1←找到此行将行头“#”删除,再将行末的“,1”删除,只允许SSH2方式的连接
↓
Protocol 2←修改后变为此状态,仅使用SSH2
#ServerKeyBits 768←找到这一行,将行首的“#”去掉,并将768改为1024
↓
ServerKeyBits 1024←修改后变为此状态,将ServerKey强度改为1024比特
#PermitRootLogin yes ←找到这一行,将行首的“#”去掉,并将yes改为no
↓
PermitRootLogin no ←修改后变为此状态,不允许用root进行登录
#PasswordAuthentication yes←找到这一行,将yes改为no
↓
PasswordAuthentication no←修改后变为此状态,不允许密码方式的登录
#PermitEmptyPasswords no←找到此行将行头的“#”删除,不允许空密码登录
↓
PermitEmptyPasswords no←修改后变为此状态,禁止空密码进行登录
4、重启ssh服务
systemctl restart sshd.service
设置开机启动:systemctl enable sshd.service
四、XShell使用
打开工具栏——用户密钥管理器
将不同用户私钥导入,导入时会询问linux建立key时输入的口令
新建会话——选择协议、输入主机名及端口号
点击左侧用户身份验证,方法选择Public Key,输入要登陆的用户名,密钥直接选择密码本内刚刚导入的与之对应的Key
登录成功
统一用户及权限管理系统概要设计说明书范文
统一用户及权限管理系统概要设计说 明书
统一用户及权限管理系统 概要设计说明书 执笔人:K1273-5班涂瑞 1.引言 1.1编写目的 在推进和发展电子政务建设的进程中,需要经过统一规划和设计,开发建设一套统一的授权管理和用户统一的身份管理及单点认证支撑平台。利用此支撑平台能够实现用户一次登录、网内通用,避免多次登录到多个应用的情况。另外,能够对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理,实现多层次统一授权,审计各种权限的使用情况,防止信息共享后的权限滥用,规范今后的应用系统的建设。 本文档旨在依据此构想为开发人员提出一个设计理念,解决在电子政务整合中遇到的一些问题。 1.2项目背景 随着信息化建设的推进,各区县的信息化水平正在不断提升。截至当前,在各区县的信息化环境中已经建设了众多的应用系统并投入日常的办公使用,这些应用系统已经成为电子政务的重要组成部分。 各区县的信息体系中的现存应用系统是由不同的开发商在不同的时期采用不同的技术建设的,如:邮件系统、政府内
部办公系统、公文管理系统、呼叫系统、GIS系统等。这些应用系统中,大多数都有自成一体的用户管理、授权及认证系统,同一用户在进入不同的应用系统时都需要使用属于该系统的不同账号去访问不同的应用系统,这种操作方式不但为用户的使用带来许多不便,更重要的是降低了电子政务体系的可管理性和安全性。 与此同时,各区县正在不断建设新的应用系统,以进一步提高信息化的程度和电子政务的水平。这些新建的应用系统也存在用户认证、管理和授权的问题。 1.3定义 1.3.1 专门术语 数据字典:对数据的数据项、数据结构、数据流、数据存储、处理逻辑、外部实体等进行定义和描述,其目的是对数据流程图中的各个元素做出详细的说明。 数据流图:从数据传递和加工角度,以图形方式来表示系统的逻辑功能、数据在系统内部的逻辑流向和逻辑变换过程,是结构化系统分析方法的主要表示工具及用于表示软件模型的一种图示方法。 性能需求:系统必须满足的定时约束或容量约束。 功能需求:系统必须为任务提出者提供的服务。 接口需求:应用系统与她的环境通信的格式。 约束:在设计或实现应用系统时应遵守的限制条件,这些
系统用户及权限管理制度
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
最经典用户权限管理模块设计
实现业务系统中的用户权限管理--设计篇 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便 的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致 的人员编入同一组,然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套 管理系统,就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统 之间,功能权限是可以重用的,而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。 我们先来分析一下数据库结构: 首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
实验五、用户管理与权限管理
实验五、用户管理和权限管理 一、实验目的 1、掌握对系统用户和组的建立与管理。 2、掌握linux的文件访问权限和访问权限类型。 3、掌握如何设置文件访问权限。 二、实验重点与难点 1、学会使用useradd、usermod和userdel命令 2、学会使用chmod设置文件权限 三、实验内容及步骤 1)查看/etc/passwd文件和/etc/shadow文件内容,识别该文件中记录的信 息内容。 2)使用YaST创建新用户user1和用户组group1,将用户user1加入到组 group1。 3)用useradd命令建立2个用户admin和geeko(注意要求创建用户主目 录),设定好对应的用户密码,再用groupadd命令建立一个用户组school。 4)使用命令将admin用户改名为administrator。 5)使用命令将administrator账户锁定,然后再使用该账户登录系统,观 察会发生什么?然后再将账号解除锁定。 6)将linux系统注销使用geeko账号登录,在geeko的主目录下创建两个 新的文件K1,K2。在/tmp目录下创建两个文件W1,W2。 7)删除geeko账号及其主目录。并尝试删除所有属于geeko用户的文件。 8)在/tmp目录中创建两个新文件newfile,test,将newfile文件访问权限 设置为rwxrw-rw-,test文件访问权限设置为rwxr--r-- 。 9)使用su命令将用户身份切换至administrator,将“I can read and write”写入newfile文件中,并保存。是否可以对test文件进行编辑? 10)如果要实现其他用户对test文件的编辑权限,应该如何设置该文件的 权限?写出操作的命令。 11)创建一个目录directory,将目录访问权限设置为rwxrwxrw-。
统一用户及权限管理
文件编号: 统一用户及权限管理平台 解决方案及设计报告 版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________
目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义 (1) 1.4参考资料 (1) 第二章统一权限管理解决方案 (2) 2.1需求分析 (2) 2.2系统架构 (3) 2.3系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1组织机构管理 (8) 3.2用户管理.......................................................................................................... 错误!未定义书签。 3.3应用系统管理、应用系统权限配置管理 (9) 3.4角色管理 (8) 3.5角色权限分配 (9) 3.6用户权限(角色)分配 (9) 3.7用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1概述 (10) 4.2接口详细描述 (10) 4.2.1获取用户完整信息 (14) 4.2.2获取用户拥有的功能模块的完整信息 (15) 4.2.3获取用户拥有的一级功能模块 (16) 4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17) 4.2.5获取用户拥有的某一末级功能模块的操作列表 (19) 4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20) 4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)
MYSQL用户管理和权限管理
MYSQL用户管理和权限管理 MYSQL是一个多用户的数据库,MYSQL的用户可以分为两大类: 1.超级管理员用户(root),拥有全部权限 Root用户的权限包括:创建用户、删除用户和修改普通用户密码等管理权限。 2.普通用户,由root创建,普通用户只拥有root所分配的权限(普通用户只拥有创建用户是赋予它的权限。) 普通用户的权限包括:管理用户的账户、权限等。 一、权限表 最重要:user表、db表、host表; 除此之外还有tables_priv表、columns_priv表和proc_priv表等。 二、账户管理 1.登陆与退出MySQL服务器 2. 新建普通用户 (1)用CREATE USER语句新建普通用户 (2)用INSERT语句新建普通用户 A: B: (3)用GRANT语句来新建普通用户
3.删除普通用户 (1)用DROP USER语句删除普通用户 (2)用DELETE语句删除普通用户 4.root用户修改自己的密码 Root用户拥有最高的权限,因此必须保证root用户的密码的安全。(1)使用mysqladmin命令修改root用户的密码 (2)修改mysql数据库下的user表 (3)使用SET语句修改root用户的密码 5.root修改普通用户的密码 root用户不仅能修改自己的密码,还可以修改普通用户的密码。(1)使用SET语句修改普通用户的密码 (2)修改mysql数据库下的user表
(3)用GRANT语句修改普通用户的密码 6.普通用户修改密码 7.Root用户密码丢失的解决办法 (1)使用--skip-grant-tables选项启动MySQL服务 (2)登陆root用户,并且设置新密码 通过以上的方式启动MySQL服务后,可以不输入密码就登陆root用户。 登陆以后用UPDATE语句来修改密码。 (3)加载权限表 修改完密码后必须用FLUSH PRIVILEGES语句来加载权限表。加载权限后,新密码开始有效。而且,MySQL服务器开始进行权限认证。用户必须输入用户和密码才能登陆MySQL数据库。 三、权限管理 1.MySQL的各种权限
实验5 账户与权限管理(答案)
实验六账户与权限管理 1.目的和要求 (1)练习Linux的账号管理命令。 (2)了解计算机用户和工作组的基本概念。 (3)掌握计算机用户的相关管理方法 2.实验环境 硬件:PC机软件:ubuntu操作系统、虚拟机 3.实验步骤 任务1:用户与组管理 1)新建用户student useradd student 2)修改student的密码为student123 passwd student Passwd: student123 ReType:student123 3)切换到第二个虚拟终端,并以student登录ctrl+alt+f2 4)切换到root权限su - 5)新建组students groupadd students 6)删除组students groupdel students 7)新建用户stu,并修改密码为stu123 useradd stu passwd stu123 8)修改stu的主目录为/root usermod –d /root stu 9)请问stu这个用户能登录么?为什么? 10)修改stu用户的主目录为/home/stu usermod –d /home/stu stu 11)切换到另一个虚拟终端,并以stu登录 12)查询目前登陆到系统的用户who 13)发送广播hello(发送后切换到其他终端看看收到消息了么?然后切换回来) wall “hello”
14)结束会话。Ctrl+d 任务2:权限管理 1)设置文件权限 ●在用户主目录下创建目录test,进入test 目录创建空文件file1。并以 长格形式显示文件信息,注意文件的权限和所属用户和组。 ●对文件file1 设置权限,使其他用户可以对此文件进行写操作。并查看 设置结果。 ●取消同组用户对此文件的读取权限。查看设置结果。 ●用数字形式为文件file1 设置权限,所有者可读、可写、可执行;其他 用户和所属组用户只有读和执行的权限。设置完成后查看设置结果。 ●用数字形式更改文件file1 的权限,使所有者只能读取此文件,其他任 何用户都没有权限。查看设置结果。 ●为其他用户添加写权限。查看设置结果。
医院信息系统用户和权限管理制度
洛阳市第六人民医院医院 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的信息系统等。 第三条信息系统用户、角色、权限的划分和制定,以人事处对部门职能定位和各部门内部分工为依据。 第四条各系统用户和权限管理由医院办公室、医教科、人事处负责,所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为信息系统的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统用户管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的信
息系统、提供用户操作培训和技术指导。 第七条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第八条用户申请和创建 由人事处将人员名单报医教科,医教科报信息中心进行维护; 第九条用户变更和停用 (一)科室发现医师权限与实际情况不符由本人提出书面申请,经科主任签名、质控办审核后报医教科、信息中心进行权限的调整。 (二)调离本院、取消或暂停处方权的人员由人事处、医教科出具书面通知信息中心,信息中心及时取消权限或调整相应权限。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。 第十三条口令管理 (一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。
用户权限管理设计方案
用户权限管理设计方案 用户认证管理设计方案 1 设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1 用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: 编号,在系统中唯一。 名称,在系统中唯一。 用户口令。 注释,描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: 编号,在系统中唯一。 名称,在系统中唯一。 注释,描述角色信息
1.3 权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、修改和删除功能,通常具有以下属性: 编号,在系统中唯一。 名称,在系统中唯一。 注释,描述权限信息 1.4 用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如 用户(User): UserID UserName UserPwd 1 张三xxxxxx 2 李四xxxxxx …… 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员
…… 用户角色(User_Role): UserRoleID UserID RoleID UserRoleNote 1 1 01 用户“张三”被分配到角色 “系统管理员” 2 2 02 用户“李四”被分配到角 色“监控人员” 3 2 03 用户“李四”被分配到角色 “调度人员” …… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如: 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 ……
用户权限管理设计方案
盛年不重来,一日难再晨。及时宜自勉,岁月不待人。 用户权限管理设计方案 用户认证管理设计方案 1 设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1 用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: ?编号,在系统中唯一。 ?名称,在系统中唯一。 ?用户口令。 ?注释,描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: ?编号,在系统中唯一。 ?名称,在系统中唯一。 ?注释,描述角色信息 1.3 权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、修改和删除功能,通常具有以下属性: ?编号,在系统中唯一。 ?名称,在系统中唯一。 ?注释,描述权限信息 1.4 用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色
(Role)关联所拥有对某种资源的权限,例如 ●用户(User): UserID UserName UserPwd 1 张三xxxxxx 2 李四xxxxxx …… ●角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 …… ●用户角色(User_Role): UserRoleID UserID RoleID UserRoleNote 1 1 01 用户“张三”被分配到角色“系 统管理员” 2 2 02 用户“李四”被分配到角色“监 控人员” 3 2 03 用户“李四”被分配到角色“调 度人员” …… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如: ●角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 …… ●权限(Permission): PermissionID PermissionName PermissionNote 0001 增加监控允许增加监控对象 0002 修改监控允许修改监控对象 0003 删除监控允许删除监控对象 0004 察看监控信息允许察看监控对象 …… ●角色权限(Role_Permission): RolePermissionID RoleID PermissionID RolePermissionNote
信息系统用户和权限管理制度三篇
信息系统用户和权限管理制度三篇 篇一:信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。(三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用
户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第八条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。 第九条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建 (一)申请人在《用户账号申请和变更表》上填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》上签字确认。 (三)信息系统管理部门经理进行审批后,由系统管理员和业务员创建用户或者变更权限。 (四)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。
数据库实验九-用户管理和权限管理
计算机科学与技术系 实验报告 专业名称 13级软件工程 课程名称数据库原理与应用 项目名称用户管理和权限管理 班级 (2)班 学号 姓名 同组人员无 实验日期 2015年1月3日
一、实验目的与要求: (简述本次实验要求达到的目的,涉及到的相关知识点,实验的具体要求。) 实验目的 1、学习理解和体会数据库安全性的内容。 2、加强对数据库管理系统的安全管理功能的认识。 预习要求 1、复习和掌握教材6.1节内容。 2、预习SQL Server软件的使用和SQL Server中用户管理和权限管理的概念、创建和执行过程。 3、准备好上机所需的程序。 二、实验内容 (根据本次实验项目的具体任务和要求,完成相关内容,可包括:实验目的、算法原理、实验仪器、设备选型及连线图、算法描述或流程图、源代码、实验运行步骤、关键技术分析、测试数据与实验结果、其他) 实验内容 1、以系统管理员身份完成如下实验: 1)建立3个不同用户名称的注册用户。 2)使用ALTER LOGIN命令对建立的注册用户作不同的修改。 3)建立一个数据库管理员用户。 2、以数据库管理员身份完成如下实验: 1)根据已有的注册用户建立3个当前数据库的用户。 2)使用ALTER USER命令修改用户名。
3)建立1个角色‘role1’,授予该角色查询、修改、插入学生表的权限。 4)授权‘user2’用户‘role1’角色,不授予‘user3’任何角色,比较‘user2’和‘user3’权限。(如果由(2)改了新的用户名,则以对应的新用户名进行相应工作) 5)取消‘user3’的role1角色。 3、以下实验由若干学生一组共同完成: 1)授予‘user2’和‘user3’建立对象的权限,并各自建立自己的对象(如表和视图等)。 2)授予‘user2’用户‘学生’表的查询、修改、删除、插入等权限及转授权限,在授权过程中体会GRANT命令中WITH GRANT OPTION短语的作用。再由‘user2’授予‘user3’权限(自己定义)。 3)分情况收回授权,并体会REVOKE命令中GRANT OPTION FOR和CASCADE短语的作用。 实验原理 1、建立注册用户的语句是: CREATE LOGIN login_name {WITH PASSWORD=’password’ [MUST_CHANGE] [, DEFAULT_DATABASE=database] [, CHECK_EXPIRATION={ON|OFF}]} 2、修改注册用户的语句是: ALTER LOGIN login_name {{ENABLE | DISABLE} | WITH PASSWORD=’password’ [, OLD_ PASSWORD=’oldpassword’] [, DEFAULT_DATABASE=database] [, NAME = login_name]} 3、建立数据库用户的语句是: CREATE USER user_name [LOGIN login_name]
信息系统用户帐号与角色权限管理流程
信息系统用户帐号与角色权限管理流程 一、目的 碧桂园的信息系统已经在集团下下各公司推广应用,为了确保公司各应用信息系统安全、有序、稳定运行,我们需要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。 二、适用范围 适用于公司应用信息系统和信息服务,包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、数据管理平台等。 三、术语和定义 用户:被授权使用或负责维护应用信息系统的人员。 用户帐号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 角色:应用信息系统中用于描述用户权限特征的权限类别名称。 四、用户管理 (一)用户分类 1.系统管理员:系统管理员主要负责应用信息系统中的系统参数配置,用户帐号开通与维护管理、设定角色 与权限关系,维护公司组织机构代码和物品编码等基础资料。 2.普通用户:指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内登 陆和使用应用信息系统的权限。 (二)用户角色与权限关系 1.应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户帐号授予某个角色或 多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点集合 的权力),一个用户帐号可通过被授予多个角色而获得多种操作权限。
2.由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角色 在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统都需要在遵循《应用 信息系统角色与权限设置规范》基础上,分别制定适用于本系统的《碧桂园应用信息系统角色与权限关系 对照表》(表样见附表1)。具体详细各系统角色与权限关系表以各系统公布为准。 五、用户帐号实名制注册管理 (一)为保证公司应用信息系统的运行安全和对用户提供跟踪服务,各应用信息系统用户帐号的申请注册实行“实名制” 管理方式,即在用户帐号申请注册时必须向信息系统管理部门提供用户真实姓名、隶属单位与部门、联系方式等信息。 (二)公司应用信息系统的账户命名方式,默认以申请人的中文姓名拼音全拼为账户名,若姓名拼音重复,账户后面加 上两位数字识别。 (三)公司应用信息系统有特别安全等级保护要求的,例如数字证书针对关键和敏感业务操作的用户,在颁发个人数字 证书时还须要求提供用户身份证号,并且经过主管部门领导审批和监管部门复核环节的控制。 六、用户帐号申请、审批、开通 (一)任何一个用户帐号的申请与开通均必须经过相关部门审批管理流程,并由本部作为最终审批节点,且一个 用户在同一个应用信息系统中只能注册和被授予一个用户帐号。 (二)公司各应用信息系统(包括电子邮件和互联网服务)的用户帐号及角色权限的申请开通、注销、密码初始 化等帐号管理工作均使用本部统一制定的《碧桂园集团公司应用信息系统账号申请表》(表样见附表2、3) 办理。 (三)《应用系统用户帐号、权限申请表》包括三部分填写内容:1、申请人资料;2、帐号申请内容;3、审批 部门意见以及受理情况。其中1部分申请人资料和2部分帐号申请内容两部分由申请人填写,3部分审批 部门意见由其主管部门负责人填写,受理情况由本部跟办人填写。《碧桂园集团公司应用信息系统账号申 请表》具体填写要求见填表说明。 (四)用户权限的申请应严格参照各应用信息系统制定的《应用信息系统角色与权限关系对照表》中对不同级别
信息系统用户和权限管理规定
信息系统用户和权限管 理规定 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
信息系统用户和权限管理制度;第一章总则;第一条为加强信息系统用户账号和权限的规范化管理,;第二条本制度适用于场建设和管理的、基于角色控制和;法设计的各型信息系统,以及以用户口令方式登录的网;网站系统等;第三条信息系统用户、角色、权限的划分和制定,以人;第四条场协同办公系统用户和权限管理由场办公室负责;第五条信息系统用户和权限管理的基本原则是:;(一)用户、权信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方 法设计的各型信息系统,以及以用户口令方式登录的网络设备、 网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。
第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第七条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。 第九条用户职责
系统用户及权限管理规定
系统用户及权限管理规定 This model paper was revised by the Standardization Office on December 10, 2020
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID 的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。 第六条
用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理 第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
(完整版)信息系统用户和权限管理制度
信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的
业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第八条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。 第九条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建 (一)申请人在《用户账号申请和变更表》上填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》上签字确认。 (三)信息系统管理部门经理进行审批后,由系统管理员和业务员创建用户或者变更权限。 (四)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。
ERP用户及权限的管理规范
系统日常管理规范 一. 帐号的命名规则: 1.用户名即帐号命名: 1>个人正式帐号(由个人单独使用完成业务操作的帐号): 和本人的ITCODE(邮件)保持一致, 临时ITCODE不受理申请ERP帐号. 如: 张三的ITCODE是zhangsan, 相应的个人正式ERP帐号名是: zhangsan. 2>特殊ERP帐号(部门共用的ERP帐号, 多用于销售查询功能, 由部门的一个人做 管理者, 权限变更或其他关于该帐号的操作都由管理者提交申请): 部门特殊ERP帐号, 只针对事业部的查询用户才会产生这种特殊的ERP帐号需求. 一个部门的多个人员共同使用. 命名方式: “I”+公司代码+”-“+事业部代 号+三位顺序自然数. 其中公司代码由两位组成, 和公司代码的后两位数值一致; 事业部代号是由2个字符组成, 和产品组的数值一致; 三位顺序自然数是记数功能, 不够三位的前面由零补齐. 3>特殊ERP帐号(系统帐号或其他接口帐号) 根据具体情况, 和OA开发部门共同进行命名沟通, 最后确定命名. 如: E-Bridge的接口帐号是, E-BAI等. 2.初始密码: 在新建用户时, 对用户名的登录密码进行初始设置, 统一的初始密码是: 12345. 同时帐号的用户类型是对话类. 3.用户密码规则: 密码长度为5-8个字符,由字母、数字、标点符号构成,不能以“?”、“!”及 空格开头。 不能以三个相同的字母作为口号的起始字母,如密码:aaasd 为非法。 不能以用户名中任何3个连续字母作为密码,如用户名为:brothman,则密码man为非法。 不能以曾经用过的前5个密码作为新密码。 每天只能更改一次口令。 口令不区分大小写。
第六章-用户和权限管理
用户和权限管理 对于任何一个系统,我们都会关心它的安全性问题。我们需要控制不同的人,在网站的不同地方,在不同的阶段,能够拥有不同的权限。Plone具有一个强大的、柔性、精细粒度的安全性模式,可针对每个对象,为用户、组分配权限,支持委托授权。 本章首先介绍或在内容中穿插介绍所有相关的概念术语,以及介绍Plone中怎样管理用户和设置权限。同时深入Zope的权限介绍。并对管理用户的文件夹及相关作用做详细介绍,包括原理,及与其它服务集成,如 LDAP(Lightweight Directory Access Protocol: 轻量级目录访问协议)集成,关系数据库用户集成等。 本章适合网站管理员、系统管理员、系统集成人员阅读。本章学习重点: ?管理用户的概念 ?在Plone控制面板中管理用户和组 ?Plone权限设置 ?深入权限管理 ?认识ZMI中的用户管理文件夹 ?与第三方认证集成 6.1 管理用户 6.1.1 用户、角色和组 在Plone中,用户(Users)、角色(Roles)和组(Groups)属于非常重要的概念,这里先对它们详细地介绍。 6.1.1.1 用户 每个访问Plone站点的人,都被称为用户(User) ,不管是否可以通过Plone认证。那些不能通过认证的用户被称为匿名用户(anonymouse users) 。匿名用户属于最低等级的用户,系统对他们有最多的限制。一旦用户登入系统,就会获得账户赋予的角色身份。一个用户是由其用户名唯一识别的,例如 joy 。
6.1.1.2 角色 Plone站点拥有一组角色,角色是权限的集合。一般有系统集成人员在ZMI中预先定义每个角色拥有的权限,而Plone中不提供角色的设置界面。可以同时分配多个角色给一个用户,例如,一个用户可以是成员和管理员。每个角色也具有唯一的标识,如成员(Member)。 Plone有6个预设的角色,可以分为两种:可分配角色和不可分配角色。 不可分配的角色有: ?匿名用户(Anonymous):指那些没有登录到系统中的用户,他们可能没有系统账户、或者有系统账户但只是没有登录。 ?认证用户(Authenticated):指所有已经登录到系统中的用户,不管他是什么角色。 一个用户不是匿名用户就是认证用户,这两种角色是互斥的。因为认证用户这种角色并不能在在用户分类上提供更多帮助,所以不推荐使用。 可分配的角色有: ?所有者(Owner):如果用户创建一个内容对象后,即自动成为该内容的所有者。对被创建的内容对象而言,该角色只会赋予一个用户(创建它的用户),其所有者信 息被保存在这个内容对象本身。该角色的分配并不是显式操作的结果,而是Plone 自动完成的。 ?成员(Members):对于注册到Plone站点的用户而言,缺省即为成员角色。只要通过Plone界面中的注册链接方式加入的用户,都会具有该角色。 ?审批人(Reviewer):该角色用户拥有的权限比成员角色更多、但比管理员角色要少。 审批者用户可以编辑或审批由成员角色提交的内容;他们不可以修改系统配置或设置用户账户信息(这是管理员用户做的事情)。 ?管理员(Manager):管理员可以做任何事情,所以该角色只能赋予那些可信赖的开发人员或系统管理员。一个管理员用户可以删除、编辑内容对象,清除用户账户,改变系统配置,甚至删除整个Plone站点。所以一定要谨慎使用该角色! Plone 3.0 引入了两个新的角色: ?查看人(Reader):查看人可以查看所有状态的内容,并具有访问内容信息(Access content information)和查看文件夹列表(List folder contents)权限。 ?编辑人(Editor):编辑人具有编辑(Modify portal content)站点内容的权限。
用户管理系统与权限分配
用户管理与权限分配 1用户管理 1.1创建开关机用户 第一步:先创建一个普通用户 #useradd username -g groupname sudo通过维护一个特权到用户名映射的数据库将特权分配给不同的用户,这些特权可由数据库中所列的一些不同的命令来识别。 sudo工具由文件/etc/sudoers进行配置,该文件包含所有可以访问sudo工具的用户列表并定义了他们的特权。 #visudo代码: testuser 主机名=NOPASSWD:/usr/sbin/reboot,/usr/sbin/shutdown //表示允许用户testuser不用密码执行关机操作用法执行命令前加上前缀sudo,要以root用户的身份执行,如: sudo /usr/sbin/shutdown //命令要写绝对路径 对一组用户进行定义,可以在组名前加上%,对其进行设置,如代码: %cuug ALL=(ALL) ALL 第二步:赋予其开关机的权限 定义/etc/sudoers文件 User_Alias, Host_Alias, Cmnd_Alias项,在其后面加入相应的名称,也以逗号分隔开就可以了,举例如下: 代码: Host_Alias SERVER=no1 User_Alias ADMINS=testuser,gem Cmnd_Alias SHUTDOWN=/usr/sbin/halt,/usr/sbin/shutdown,/usr/sbin/reboot ADMINS SERVER=SHUTDOWN
sudo命令的用法 $ sudo -l 显示代码: User testuser may run the following commands on this host: (root) /usr/sbin/reboot 1.2受限shell的用户 禁止目录的切换 #adduser nixe0n #passwd nixe0n #ln -s /bin/bash /bin/rbash #echo "/bin/rbash">>/etc/shells #chsh -s /bin/rbash nixe0n #cd ~nixe0n #su nixe0n 然后,执行: $cd / 就会出现以下错误:rbash: cd: restricted 启动受限shell禁止的操作 1 使用cd命令切换目录; 2 设置或者取消SHELL、PATH、ENV或者BASH_ENV环境变量; 3 以绝对路径运行命令; 4 使用绝对路径指定的文件名作为内置命令.的参数; 5 使用绝对路径指定的文件名作为内置命令hash的参数; 6 在启动时,从shell环境导入函数的定义; 7 在启动时,解析SHELLOPTS的值;