Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第3章 ユーザーとグループの管理

3.1. ユーザーとグループの概要

ユーザーおよびグループの制御は、Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux システム管理の中核となる要素です。システムのユーザーは、人間がいるか、ユーザー ID(UID)と呼ばれる一意の数値 ID で識別される特定のアプリケーションによって使用されるアカウントになります。グループ内のユーザーは、そのグループが所有するファイルの読み取り/書き込みパーミッション、実行パーミッション、実行パーミッション、読み取り/書き込み、実行パーミッション、または任意の組み合わせを指定できます。
Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux は、ファイルおよびディレクトリーの アクセス制御リスト (ACL)をサポートします。これにより、所有者外の特定ユーザーのパーミッションを設定できます。この機能の詳細は、『Red Hat Enterprise Linux 6nbsp;Hat Enterprise Linux 6nbsp;Linux Red Hat Enterprise Linux 6nbsp;Linux Red Hat Enterprise Linux 6nbsp;6 ストレージ管理ガイド』 の「 アクセス制御リスト 」の章を参照してください。
グループは、共通の目的でユーザーをまとめる組織単位です。これは、そのグループが所有するファイルのパーミッションの読み取り、パーミッションの書き込み、またはパーミッションの実行が可能です。UID と同様に、各グループはグループ ID(GID)に関連付けられています。
注記
Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux は、システムユーザーおよびグループ用に 500 未満のユーザー ID とグループ ID を確保します。デフォルトでは、User Manager にはシステムユーザーは表示されません。予約されているユーザー ID およびグループ ID は、setup パッケージに記載されています。このドキュメントを表示するには、以下のコマンドを実行します。
cat /usr/share/doc/setup-2.8.14/uidgid
予約済みの ID は将来的に増大するため、予約されていない ID を 5,000 から削除することが推奨されます。新規ユーザーに割り当てる ID を 5,000 から始まるようにするには、/etc/login.defs ファイルの UID_MIN ディレクティブおよび GID_MIN ディレクティブを変更します。
[file contents truncated]
UID_MIN                  5000
[file contents truncated]
GID_MIN                  5000
[file contents truncated]
新規ユーザーおよびグループの ID を 5,000 から始まるようにした場合でも、システムが予約する ID は 500 を超えることは推奨されません。これにより、500 の制限を保持するシステムとの競合を避けることができます。
各ユーザーは、正確に 1 つのプライマリーグループのメンバーで、ゼロまたは複数の補助グループになります。デフォルトでは、ファイルが作成される場合、ファイルの所有者は作成者であり、ファイルのグループは作成者のプライマリーグループです。ユーザーは、新しいグループによって所有された後に、newgrp コマンドを使用してプライマリーグループであるグループを一時的に変更できます。補助グループは、このグループが所有する特定のユーザーセットとそのメンバーに対し、特定のファイルセットへのアクセスを付与します。
ファイルには、所有者、グループ、その他に対して読み取り、書き込み、実行のパーミッションが別々に割り当てられます。ファイルの所有者は root でのみ変更でき、アクセスパーミッションは root ユーザーとファイル所有者の両方が変更できます。
デフォルトでは、ファイルまたはディレクトリーは、その作成者によってのみ変更できます。新規に作成するファイルまたはディレクトリーに適用される権限を判断する設定は umask と呼ばれ、すべてのユーザーの場合は /etc/bashrc ファイル、または各ユーザーの ~/.bashrc で個別に設定できます。~/.bashrc の設定は、/etc/bashrc の設定を上書きします。また、umask コマンドは、シェルセッションの期間のデフォルトパーミッションを上書きします。
認証するには、ユーザーはパスワードを入力します。ハッシュ合計は、入力した文字列から生成され、ユーザーのパスワードのハッシュ合計と比較されます。ハッシュ合計が一致すると、ユーザーは正常に認証されます。
ユーザーパスワードのハッシュ合計は、/etc/shadow ファイルに保存されます。このファイルは root ユーザーのみが読み取り可能です。このファイルには、特定のアカウントのパスワードの変更およびポリシーに関する情報も保存されます。新規作成されたアカウントのデフォルト値は、/etc/login.defs ファイルおよび /etc/default/useradd ファイルに保存されます。Red Hat Enterprise Linux 6nbsp;Hat Enterprise Linux 6nbsp;LinuxRed Hat Enterprise Linux 6nbsp;6 セキュリティーガイド では、ユーザーとグループのセキュリティー関連情報が説明されています。