Benutzer und Rechteverwaltung

Es gibt drei Account-Typen, die jeweils unterschiedlichen Einschränkungen unterliegen und grundlegend für die Account-Verwaltung unter TwinCAT/BSD sind. Folgende Account-Typen gibt es unter TwinCAT/BSD:

• Superuser-Account
• Benutzer-Accounts
• Systembenutzer

Der Superuser-Account, auch root genannt, kann ohne Einschränkungen operieren. Anders als normale Benutzer-Accounts hat root die absolute Kontrolle über TwinCAT/BSD. Um die Systemintegrität und Sicherheit zu gewährleisten ist root standardmäßig deaktiviert. Dadurch ist es nicht möglich sich direkt als root anzumelden.

Benutzer-Accounts stehen für normale Benutzer zur Verfügung, die Zugriff auf TwinCAT/BSD erhalten sollen. Sie erhalten einen eindeutigen Benutzernamen, ein Home-Verzeichnis und können die eigene Benutzerumgebung anpassen. Der Benutzer Administrator ist standardmäßig angelegt. Er besitzt keine klassischen Administrator-Rechte wie unter Windows-Systemen, hat jedoch die Berechtigung, sich für bestimmte Zwecke Root-Rechte zu beschaffen.

Die Systembenutzer starten Dienste und Programme wie z.B. Mail- oder Webserver. Dadurch ist es möglich Programme bzw. Dienste einzuschränken oder Zugriffsrechte für bestimmte Aufgaben freizuschalten.

Root-Rechte

Weil es nicht möglich ist, sich als root anzumelden, haben Benutzer die Möglichkeit Root-Rechte zu erhalten, um ohne Beschränkungen unter TwinCAT/BSD operieren zu können. Verwenden Sie den Befehl doas, um Root-Rechte zu erhalten. Dabei entspricht doas dem Befehl sudo, einem Befehl der aus anderen unixartigen Betriebssystemen bekannt ist.

Gruppen

Unter TwinCAT/BSD können Benutzer-Accounts in Gruppen zusammengefasst werden, um ihre Berechtigungen zur Nutzung einzelner Funktionen oder Software zentral zu verwalten. Statt vielen Benutzer-Accounts dieselben einzelnen Rechte zuzuweisen, wird eine Benutzerrolle definiert, welche die zuzuweisenden Rechte enthält. Die Gruppen werden durch den Gruppennamen und die Gruppen-ID (gid) identifiziert. Der TwinCAT/BSD-Kernel entscheidet anhand der User-ID (uid) und der Gruppenmitgliedschaft eines Prozesses, ob er dem Prozess etwas erlaubt oder nicht.

Die Datei group enthält alle Gruppeninformationen, wie Gruppenname, Gruppenpasswort, Gruppen-ID und eine Mitgliederliste der jeweiligen Gruppe. Rufen Sie die Datei mit cat /etc/group auf:

wheel:*:0:root,Administrator

Dieser Auszug zeigt die erste Zeile aus der Datei group. Die Datei ist in vier Felder unterteilt, die durch einen Doppelpunkt getrennt sind. Im ersten Feld steht der Gruppenname (wheel), das zweite enthält ein verschlüsseltes Passwort (*), das dritte enthält die Gruppen-ID (0) und das vierte eine Liste mit den dazugehörigen Mitgliedern (root, Administrator).

Jeder Benutzer kann seine Zugehörigkeit zu einer Gruppe mit id bestimmen. Hier ein Beispiel mit dem Benutzer Administrator, der der Gruppe 1001 Administrator und 0 wheel angehört:

uid=1001(Administrator) gid=1001(Administrator) groups=1001(Administrator),0(wheel)

Mit doas pw groupadd <groupname> können Sie eine neue Gruppe erstellen. Benutzen Sie pw groupshow <groupname>, um sich eine Gruppe anzeigen zu lassen. Mit dem Befehl doas pw groupmod <groupname> -M <username>, können Sie einen Benutzer zu einer Gruppe hinzufügen.

Administrator@CX-3B151A:~ % pw groupshow AI
AI:*:1007:Skynet,DeepThought,Ava,HAL