Создание и администрирование групп
02.04.2010База данных Groups (карты NIS, таблицы NIS+ или локальный файл /etc/group хранит информацию о группах пользователей. Такие группы традиционно обозначаются термином «группы UNIX* (UNIX group). Пользовательская грУппа это набор пользователей, которые могут совместно использовать файлы и другие ресурсы системы. Например, в состав группы пользователей можно включить пользователей, работающих над одним проектом.
Каждая группа обладает идентификатором GID (Group ID), который служит для идентификации группы внутри системы. Группа должна обладать именем и списком имен входящих в ее состав пользователей. Для создания групп можно воспользоваться любым из двух способов:
Неявно, указав ранее не использовавшийся идентификатор GID в качестве первичной группы пользователя в составе учетной записи этого пользля. Как только новый идентификатор GID добавляется в поле Group базы данных Passwd, в систему автоматически добавляется новая группа.
Явно, добавив в базу данных Group новую запись, содержащую имя, GID и список пользователей.
Все новые группы рекомендуется создавать явно, благодаря этому каждой группе присваивается имя.
Каждый пользователь принадлежит по крайней мере к одной группе, эта группа называется первичной группой (primary group) пользователя. Первичная группа пользователя указывается в поле Group пользовательской учетной записи. Несмотря на то что операционная система не требует этого, указав первичную группу для пользователя, вы должны добавить этого пользователя в список членов данной группы. Помимо первичной группы, любой из пользователей может принадлежать к нескольким (не более 16-ти) вторичным группам (secondary group). Чтобы сделать пользователя членом вторичной группы, достаточно добавить его в список членов этой группы.
Список групп, членом которых является пользователь, можно отобразить на экране при помощи команды groups. В каждый момент времени для некоторого пользователя может существовать только одна первичная группа, однако в любой момент времени пользователь может сменить свою первичную группу при помощи команды newgrp. При помощи этой команды первичной можно сделать любую из групп, членом которых является пользователь.
Разные приложения обрабатывают членство в группах по-разному. Некоторые приложения, например файловая система, анализируют только первичную группу пользователя. Например, при создании файлов, назначении прав на владение, а также при ведении учета использования ресурсов учитывается только первичная группа пользователя. Другие приложения могут принимать во внимание также членство пользователя в других группах. Например, чтобы воспользоваться инструментом Admintool для внесения изменений в базы данных, пользователь должен быть членом группы sysadmi n, однако совсем не обязательно, чтобы это была первичная группа пользователя.
Пользовательские группы хорошо известны благодаря механизму разрешена на доступ к файлам. Как известно, в отношении файла можно назначить разрешения на чтение, запись и исполнение. Эти разрешения можно назначить для пользователя-владельца файла, для группы, владеющей файлом, и для всех остальных пользователей. Эти разрешения являются основополагающим компотом системы безопасности. Если файл не открыт для всеобщего доступа и если не являетесь его владельцем, то вы не сможете обратиться к этому файлу, и только ваша первичная или вторичная группа не обладает разрешениями на доступ к ЭТ0МУ файлу. Например, для разработчиков технической документации Но создать группу techwrite. После этого в файловой системе можно создать каталог для централизованного хранения всей технической документации. Права на запись в этот каталог можно предоставить группе techwrite. В этом случае только члены этой группы смогут вносить изменения в содержимое размещенных каталоге файлов.
Пользовательские группы могут создаваться локально по отношению к рабочей станции, но их можно использовать и в сетевой рабочей среде. Сетевые пользовательские группы позволяют набору пользователей сети работать с набором файлов, размещенных на рабочей станции или на файловом сервере, при этом файлы продолжают оставаться недоступными для всех остальных пользователей (то есть пользователей, не являющихся членами группы).
Система NIS+ поддерживает другой механизм группировки пользователей, который называется группами N1S+. Этот механизм позволяет предоставлять группе пользователей права на доступ к объектам NIS+. Группы NIS+ никак не связаны с обычными пользовательскими группами UNIX и никак не связаны со способностью NIS+ обслуживать базу данных пользовательских групп UNIX
