12.3 Options supplémentaires des comptes utilisateur. Suse 11 SP4

12.3 Options supplémentaires des comptes utilisateur

En plus des paramètres d'un compte utilisateur par défaut, SUSE® Linux Enterprise

Server propose des options supplémentaires, telles que l'application de stratégies de mot de passe, l'utilisation de répertoires privés codés ou la définition de quotas de disque pour les utilisateurs et les groupes.

12.3.1 Connexion automatique et connexion sans mot de passe

Si vous utilisez un environnement de bureau KDE ou GNOME, vous pouvez configurer une Connexion automatique pour un utilisateur spécifique, ainsi qu'une

Connexion sans mot de passe

pour tous les utilisateurs. La fonction de connexion automatique connecte automatiquement l'utilisateur à l'environnement du bureau au démarrage de l'ordinateur. Cette fonctionnalité ne peut être activée que pour un utilisateur à la fois. Avec la connexion sans mot de passe, tous les utilisateurs peuvent se connecter au système après avoir entré leur nom d'utilisateur dans le gestionnaire de connexion.

AVERTISSEMENT : Risque lié à la sécurité

L'activation des options Connexion automatique ou Connexion sans mot

de passe sur une machine à laquelle plusieurs personnes peuvent accéder présente un risque de sécurité. Si les utilisateurs n'ont pas besoin de s'authentifier, ils pourront accéder à votre système et à vos données. Si votre système contient des données confidentielles, n'utilisez pas cette fonctionnalité.

Si vous souhaitez activer les options de connexion automatique ou de connexion sans mot de passe, accédez à la section Gestion des utilisateurs et des groupes dans YaST, puis sélectionnez Options pour experts > Paramètres de login.

248 Guide de déploiement

12.3.2 Applications des stratégies de mot de passe

Sur tout système comportant plusieurs utilisateurs, il est judicieux d'appliquer au moins des stratégies de base en matière de sécurité des mots de passe. Les utilisateurs doivent modifier leurs mots de passe régulièrement et utiliser des mots de passe forts qui ne peuvent pas être exploités facilement. Pour les utilisateurs locaux, procédez comme suit :

Procédure 12.3 Configuration des paramètres de mot de passe

1 Ouvrez la boîte de dialogue Gestion des utilisateurs et des groupes dans YaST, puis sélectionnez l'onglet Utilisateurs.

2 Sélectionnez l'utilisateur pour lequel vous souhaitez modifier les options du mot de passe, puis cliquez sur Modifier.

3 Sélectionnez l'onglet Paramètres du mot de passe. La modification du dernier mot de passe de l'utilisateur s'affiche sur l'onglet.

4 Pour que l'utilisateur modifie son mot de passe à sa prochaine connexion, sélectionnez Forcer la modification du mot de passe.

5 Pour obliger les utilisateurs à modifier leur mot de passe, renseignez les paramètres Durée maximale d'un mot de passe (en jours) et Durée minimale d'un mot

de passe (en jours)

.

6 Pour rappeler aux utilisateurs de modifier leur mot de passe avant qu'il n'expire, définissez le paramètre Délai de publication d'un avertissement (en jours) avant

l'expiration d'un mot de passe

.

7 Pour limiter la période durant laquelle l'utilisateur peut continuer de se connecter après l'expiration de son mot de passe, modifiez la valeur du paramètre Délai (en

jours) pendant lequel la connexion est encore utilisable après l'expiration du mot de passe

.

8 Vous pouvez également spécifier une date d'expiration particulière pour le compte. Renseignez le paramètre Date d'expiration au format AAAA-MM-JJ.

Notez que ce paramètre n'est pas lié au mot de passe, mais plutôt au compte.

Gestion des utilisateurs avec YaST 249

9 Pour plus d'informations sur les options et les valeurs par défaut, cliquez sur Aide.

10 Cliquez sur OK pour appliquer vos modifications.

12.3.3 Gestion des répertoires privés codés

Pour protéger les données des répertoires privés contre le vol et la suppression du disque dur, vous pouvez créer des répertoires privés codés pour les utilisateurs. Ceuxci sont codés avec LUKS (Linux Unified Key Setup), qui génère une image et une clé d'image pour l'utilisateur. La clé d'image est protégée par le mot de passe de connexion de l'utilisateur. Lorsque l'utilisateur se connecte au système, son répertoire privé codé est monté et l'utilisateur peut accéder à son contenu.

REMARQUE : Périphériques de lecture d'empreintes et répertoires privés codés

Si vous souhaitez utiliser un périphérique de lecture d'empreinte, vous ne devez pas utiliser de répertoires privés codés. Sinon, la connexion échouera car il n'est pas possible de procéder au décodage pendant la connexion alors qu'un périphérique de lecture d'empreintes est actif.

YaST vous permet de créer des répertoires privés codés pour les utilisateurs nouveaux et existants. Pour coder ou modifier les répertoires privés codés d'utilisateurs existants, vous devez connaître leur mot de passe de connexion actuel. Par défaut, toutes les données des utilisateurs existants sont copiées sur le nouveau répertoire privé codé, mais ne sont pas supprimées du répertoire non codé.

AVERTISSEMENT : Restrictions de sécurité

Le codage du répertoire privé d'un utilisateur n'offre pas une sécurité élevée par rapport aux autres utilisateurs. Si un niveau de sécurité élevé est requis, le système ne doit pas être physiquement partagé.

Pour plus d'informations sur les répertoires privés codés et les actions à entreprendre pour augmenter la sécurité, reportez-vous à la Section “Using Encrypted Home

Directories” (Chapter 11, Encrypting Partitions and Files, ↑Security Guide).

250 Guide de déploiement

Procédure 12.4 Création de répertoires privés codés

1 Ouvrez la boîte de dialogue Gestion des groupes et des utilisateurs dans YaST, puis cliquez sur l'onglet Utilisateurs.

2 Pour coder le répertoire privé d'un utilisateur existant, sélectionnez l'utilisateur, puis cliquez sur Modifier.

Vous pouvez également cliquer sur Ajouter pour créer un nouveau compte utilisateur et entrer les données de l'utilisateur appropriées dans le premier onglet.

3 Dans l'onglet Détails, sélectionnez Utiliser un répertoire personnel codé. L'option

Taille du répertoire en Mo

vous permet de spécifier la taille du fichier image codé à créer pour cet utilisateur.

4 Cliquez sur OK pour appliquer vos paramètres.

5 Entrez le mot de passe actuel de connexion de l'utilisateur si YaST vous y invite.

6 Cliquez sur Options pour experts > Écrire les modifications maintenant pour enregistrer toutes les modifications sans quitter la boîte de dialogue de gestion. Cliquez sur

OK

pour fermer la boîte de dialogue de gestion et enregistrer les modifications.

Gestion des utilisateurs avec YaST 251

Procédure 12.5 Modification ou désactivation des répertoires privés codés

Évidemment, vous pouvez également désactiver le codage d'un répertoire privé ou modifier la taille du fichier image à tout moment.

1 Ouvrez la boîte de dialogue Gestion des utilisateurs et des groupes dans YaST, puis sélectionnez la vue Utilisateurs.

2 Sélectionnez un utilisateur dans la liste, puis cliquez sur Modifier.

3 Pour désactiver le codage, accédez à l'onglet Détails et désactivez l'option Utiliser un

répertoire personnel codé

.

Si vous souhaitez agrandir ou diminuer la taille du fichier image codé pour cet utilisateur, modifiez le paramètre Taille du répertoire en Mo.

4 Cliquez sur OK pour appliquer vos paramètres.

5 Entrez le mot de passe actuel de connexion de l'utilisateur si YaST vous y invite.

6 Cliquez sur Options pour experts > Écrire les modifications maintenant pour enregistrer toutes les modifications sans quitter la boîte de dialogue Gestion des utilisateurs

et des groupes

. Cliquez sur OK pour fermer la boîte de dialogue de gestion et enregistrer les modifications.

12.3.4 Utilisation de l'authentification par empreinte

Si votre système inclut un lecteur d'empreintes, vous pouvez utiliser l'authentification biométrique en plus de l'authentification standard via une identification et un mot de passe. Une fois leur empreinte enregistrée, les utilisateurs peuvent se connecter au système en passant leur doigt sur le lecteur ou en saisissant leur mot de passe.

Les empreintes peuvent être enregistrées avec YaST. Pour obtenir des informations détaillées sur la configuration et l'utilisation de l'authentification par empreinte, reportez-vous au Chapter 7, Using the Fingerprint Reader (↑Security Guide).

Pour obtenir la liste des périphériques pris en charge, visitez le site http:// www.freedesktop.org/wiki/Software/fprint/libfprint

.

252 Guide de déploiement

12.3.5 Gestion des quotas

Pour éviter l'épuisement des capacités du système sans notification, les administrateurs peuvent définir des quotas pour les utilisateurs et les groupes. Les quotas peuvent

être définis pour un ou plusieurs systèmes de fichiers et restreindre la quantité d'espace disque pouvant être utilisée et le nombre d'inodes (index nodes - nœuds d'index) pouvant être créés ici. Les inodes sont des structures de données sur un système de fichiers qui stockent des informations de base sur un fichier ordinaire, un répertoire ou un autre objet du système de fichiers. Ils stockent tous les attributs d'un objet du système de fichiers (comme la propriété des utilisateurs et des groupes, les autorisations de lecture, d'écriture ou d'exécution), à l'exception du nom et du contenu du fichier.

SUSE Linux Enterprise Server permet l'utilisation de quotas souples et stricts.

Les quotas souples (soft) définissent généralement un niveau d'avertissement qui informe les utilisateurs qu'ils approchent de leur limite, alors que les quotas stricts

(hard) définissent la limite à partir de laquelle les requêtes d'écriture sont refusées. En outre, il est possible de définir des intervalles bonus qui permettent aux utilisateurs ou aux groupes de dépasser temporairement leur quota, sous certaines limites.

Procédure 12.6 Activation de la prise en charge des quotas pour une partition

Pour configurer des quotas pour certains utilisateurs et groupes, vous devez commencer par activer la prise en charge des quotas pour la partition concernée dans l'outil de partitionnement en mode expert de YaST.

1 Dans YaST, sélectionnez Système > Partitionneur, puis cliquez sur Oui pour poursuivre.

2 Dans le Partitionneur en mode expert, sélectionnez la partition pour laquelle vous souhaitez activer les quotas, puis cliquez sur Modifier.

3 Cliquez surOptions Fstab et activez l'option Activer la prise en charge des quotas.

Si le paquetage quota n'est pas déjà installé, il le sera une fois que vous aurez confirmé le message approprié en cliquant sur Oui.

4 Confirmez vos modifications et quittez le Partitionneur en mode expert.

Procédure 12.7 Définition de quotas pour les utilisateurs et les groupes

Vous pouvez désormais définir des quotas souples ou stricts pour des utilisateurs ou des groupes spécifiques, ainsi que des délais sous forme d'intervalles bonus.

Gestion des utilisateurs avec YaST 253

1 Dans la section Gestion des utilisateurs et des groupes de YaST, sélectionnez l'utilisateur ou le groupe pour lequel vous souhaitez définir les quotas, puis cliquez sur Modifier.

2 Dans l'onglet Plug-ins, sélectionnez l'entrée Gérer les quotas des utilisateurs, puis cliquez sur Lancer pour ouvrir la boîte de dialogue Configuration des quotas.

3 Dans Système de fichiers, sélectionnez la partition à laquelle vous souhaitez appliquer le quota.

4 Sous Limites de taille, limitez la quantité d'espace disque. Entrez le nombre de blocs de 1 Go que l'utilisateur ou le groupe peut avoir sur cette partition. Spécifiez une valeur pour les champs Limite douce et Limite dure.

5 Par ailleurs, vous pouvez limiter le nombre d'inodes que l'utilisateur ou le groupe peut avoir sur cette partition. Sous Limites I-nodes, entrez les valeurs des champs

Limite douce

et Limite dure.

6 Vous ne pouvez définir des intervalles bonus que si l'utilisateur ou le groupe a déjà dépassé la limite douce de taille ou d'inodes spécifiée. Sinon, les champs d'entrée relatifs au délai ne seront pas activés. Spécifiez le délai pendant lequel l'utilisateur ou le groupe est autorisé à dépasser les limites définies ci-dessus.

7 Cliquez sur OK pour confirmer vos paramètres.

254 Guide de déploiement