Tato stránka vám řekne, jak vytvořit nové uživatele Webmin s přístupem pouze k některým modulům a jak přesně omezit, co mohou uživatelé dělat v každém modulu.
Úvod k uživatelům, skupinám a oprávněním Webmin
Standardní, přednastavená instalace Webminu má pouze jednoho uživatele (nazývaného root nebo admin), který může používat všechny funkce každého modulu. Na domácím nebo kancelářském systému, který používá pouze jedna osoba, to je vše, co potřebujete. I když má váš systém více uživatelů, může existovat pouze jeden, který potřebuje provádět úlohy správy systému.
Existuje však mnoho situací, ve kterých může správce chtít některým lidem poskytnout přístup k podmnožině funkcí Webminu. Ve vaší organizaci můžete mít například osobu, jejímž úkolem je vytvářet a upravovat zóny a záznamy DNS. Na normálním unixovém systému by tato osoba musela mít oprávnění root, aby mohla upravovat soubory zóny a v případě potřeby restartovat server DNS. Bohužel, jakmile se někdo může přihlásit jako root, má plnou kontrolu nad systémem a může si dělat, co chce.
Webmin řeší tento druh problému tím, že vám umožňuje vytvořit další uživatele, kteří se mohou přihlásit, ale mají přístup pouze k několika modulům. Můžete dále omezit, co může uživatel v rámci každého modulu dělat, aby nemohl zneužívat jeho funkce k provádění akcí, které dělat nemá. Protože Webmin stále běží s plnými právy root, i když jej používá omezený uživatel, má stále přístup ke všem konfiguračním souborům a příkazům, které potřebuje.
Některé příklady omezení řízení přístupu, která můžete nastavit, jsou :
- Vytvoření uživatele s právem upravovat direktivy pouze na několika virtuálních serverech Apache, které vlastní. Globální nastavení nebo příkazy v jiných virtuálních hostitelích nelze upravovat.
- Poskytnutí práv uživateli upravovat a vytvářet uživatele Unix s UID v určitém rozsahu a s domovskými adresáři v omezeném adresáři. Důležité systémové uživatele, jako je root nebo bin, nelze upravovat ani prohlížet.
- Povolit uživateli přístup pouze k jedné databázi MySQL, ale ne k jiným databázím nebo uživatelským oprávněním. Podobné řízení přístupu lze nastavit pro PostgreSQL.
- Poskytnutí přístupu uživateli k seznamu řízení přístupu Squid, ale ne k dalším funkcím. Uživateli může být povoleno použít jeho konfigurační změny, ale ne spouštět nebo zastavovat proxy server.
- Vytváření vlastních příkazů a následné udělení práv uživateli spouštět pouze některé z nich, ale žádné nevytvářet ani upravovat.
- Umožňuje uživateli prohlížet a rušit tiskové úlohy v modulu Správa tiskárny, ale neupravovat nebo vytvářet skutečné tiskárny.
Mnohá z těchto práv by nebylo možné udělit pomocí nástrojů příkazového řádku bez udělení přístupu root k celému systému. Dokonce i programy jako sudo jsou omezeny, pokud jde o to, aby uživatel mohl upravovat pouze část souboru nebo spouštět příkaz pouze s určitými argumenty.
Při udělování přístupu nedůvěryhodným uživatelům Webmin však musíte být velmi opatrní, protože i malá chyba v konfiguraci řízení přístupu může uživateli umožnit upravovat libovolné soubory ve vašem systému nebo spouštět příkazy jako root. Stačí malá díra, kterou se útočník může propašovat a převzít úplnou kontrolu nad vaším systémem. Možnosti řízení přístupu Webmin vám umožňují uzamknout uživatele, ale pouze při správném používání.
I když je možné vytvořit uživatele s přístupem pouze k jeho vlastnímu e-mailu, domovskému adresáři a heslu, Webmin není vždy tím nejlepším způsobem, jak poskytnout tento druh webového rozhraní pro jednoho uživatele. Lepším programem je Usermin, který byl vyvinut stejným autorem a sdílí většinu kódu Webmin a uživatelského rozhraní. Je navržen tak, aby umožnil každému uživateli Unixu přístup pouze k těm věcem, ke kterým by měl přístup z příkazového řádku, jako je jeho e-mail, soubory domovského adresáře a konfigurace GNUPG. Usermin spouští většinu svého kódu s oprávněními přihlášeného uživatele, takže je mnohem menší šance, že uživatel bude dělat věci, které by neměl dělat, nebo dokonce získal root přístup. Další podrobnosti o tom, jak můžete spravovat Usermin z Webminu, najdete v části Konfigurace Usermin.
Obsah
Modul Webmin Users
Pokud chcete vytvořit, upravit nebo udělit oprávnění uživateli nebo skupině Webmin, musíte to udělat v tomto modulu. Když jej zadáte z kategorie Webmin, hlavní stránka zobrazí všechny uživatele a skupiny ve vašem systému a moduly, ke kterým mají přístup, jak je znázorněno na obrázku níže. Pokud je uživatel členem skupiny, zobrazí se jeho členství a pouze ty moduly, které nepocházejí ze skupiny.
Modul Uživatelé Webmin
Na běžném systému Webmin se zobrazí pouze uživatel root nebo admin, pod kterým se přihlásíte a který má přístup ke všem modulům, které váš operační systém podporuje.
Vytvoření nového uživatele Webmin
Pokud chcete vytvořit nového uživatele, který se může přihlásit do Webminu, případně s omezenými právy, musí být vytvořen v tomto modulu. Kroky k tomu jsou:
- Na hlavní stránce modulu klikněte na odkaz *Vytvořit nového uživatele Webmin* nad nebo pod seznamem stávajících uživatelů. Zobrazí se formulář pro vytvoření zobrazený na obrázku 52-2.
- Do pole Uživatelské jméno zadejte přihlašovací jméno pole. Toto jméno již nemůže používat žádný jiný uživatel nebo skupina.
- Chcete-li uživatele učinit součástí skupiny, vyberte jej z pole *Člen skupiny*. Všechny moduly, které skupina má, budou uděleny uživateli kromě modulů, které vyberete na této stránce, a všechna omezení řízení přístupu, která se vztahují na skupinu v těchto modulech, se budou vztahovat i na uživatele. Další informace o přidávání nových skupin do seznamu naleznete v části *Vytváření a úpravy skupin Webmin*.
- Chcete-li uživateli přidělit normální heslo, vyberte možnost Nastavit na z nabídky v části Heslo pole a zadejte jej do sousedního pole. Pokud má nový uživatel stejné jméno jako uživatel Unixu, můžete vybrat Unixové ověřování místo toho nechat Webmin používat PAM nebo číst soubor /etc/shadow k ověření uživatele. Chcete-li uživateli zabránit v přihlášení, vyberte možnost Žádné heslo není přijato . To může být dobrý nápad při vytváření uživatele, který bude mít omezená oprávnění, takže se nemůže přihlásit, dokud nedokončíte omezení jeho přístupu.
- Chcete-li, aby Webmin používal pro uživatele jiný jazyk, než je globální výchozí, vyberte jeden z Jazyk pole menu.
- Ve většině témat se ikony modulů na hlavní stránce Webminu zobrazují pod kategoriemi. Pokud bude tomuto novému uživateli udělen přístup pouze k několika modulům, není to skutečně nutné, a proto můžete změnit Kategorizovat moduly? pole na Ne .
- Chcete-li, aby se uživatelské rozhraní Webmin zobrazovalo s jiným motivem pro uživatele, nastavte jej v Osobní motiv pole.
- Chcete-li omezit adresy, ze kterých se nový uživatel může přihlásit do Webminu, změňte Řízení přístupu IP pole na *Povolit pouze uvedené adresy*. Poté vyplňte do textového pole vedle názvu hostitele, IP adresy, páry síť/maska sítě nebo zástupné názvy hostitelů (např. *.foo.com ). Všimněte si, že tato omezení jsou kontrolována pouze po schválení jakékoli globální kontroly přístupu IP nastavené v modulu Webmin Configuration.
- V Moduly vyberte všechny moduly, ke kterým má mít uživatel přístup. sekce.
- Po dokončení klikněte na tlačítko Uložit pro vytvoření nového uživatele. Budete vráceni na hlavní stránku modulu a bude se moci okamžitě přihlásit.
Chcete-li dále omezit, co může nový uživatel dělat v každém modulu, ke kterému jste mu udělili přístup, prostudujte si sekci *Řízení přístupu k modulu pro úpravy* níže.
Vytvoření nového uživatele Webmin
Proces vytváření nového uživatele, který má stejné atributy a přístupová oprávnění jako stávající uživatel, můžete urychlit pomocí funkce klonování modulu. Chcete-li klonovat uživatele, postupujte takto:
- Na hlavní stránce modulu klikněte na uživatelské jméno stávajícího uživatele, kterého chcete naklonovat.
- Klikněte na Klonovat tlačítko ve spodní části editačního formuláře. Tím se dostanete do formuláře pro vytvoření, který je znázorněn na obrázku 52-2, ale většina polí je již vyplněna atributy původního uživatele.
- Vyplňte Uživatelské jméno pole a nastavte Heslo , protože se nezkopírují od klonovaného uživatele. Můžete také upravit hodnoty v kterémkoli z dalších polí.
- Po dokončení klikněte na tlačítko Vytvořit knoflík. Nový uživatel obdrží kopii všech nastavení řízení přístupu k modulu od původního uživatele, ale nebudou aktualizována, pokud se původní uživatel v budoucnu změní.
Pokud chcete vytvořit mnoho uživatelů s přístupem ke stejným modulům a stejným nastavením řízení přístupu, je lepší vytvořit skupinu a přiřadit uživatele do ní. Tímto způsobem můžete změnit nastavení pro všechny členy najednou úpravou skupiny.
Úprava uživatele Webmin
Pomocí tohoto modulu můžete změnit uživatelské jméno, heslo, jazyk nebo jakýkoli jiný atribut uživatele Webmin (včetně toho, pod kterým jste přihlášeni). Chcete-li upravit uživatele, postupujte takto:
- Klikněte na jeho uživatelské jméno na hlavní stránce modulu. Tím se dostanete do editačního formuláře, podobného tomu, který je zobrazen na obrázku výše.
- Ve výchozím nastavení zůstane heslo nezměněno. Chcete-li jej upravit, vyberte v poli *Heslo možnost Nastavit na * pole a zadejte nové heslo do pole vedle něj.
- Změňte kterékoli z ostatních polí ve formuláři, jak je vysvětleno v části Vytvoření nového uživatele Webmin sekce. Můžete dokonce přesunout uživatele do jiné skupiny, což způsobí, že ztratí přístup ke všem modulům v původní skupině a získá přístup k těm v nové skupině. Pokud upravujete sami sebe, Webmin vám nedovolí odebrat přístup k modulu Webmin Users. To vás chrání před uzamčením z modulu a nemožností si znovu udělit přístup.
- Až budete hotovi, klikněte na tlačítko Uložit tlačítko pro okamžité použití změn. Pokud bylo uživatelské jméno nebo heslo změněno a uživatel je aktuálně přihlášen a Webmin není v režimu ověřování relace, bude se muset znovu přihlásit.
Uživatele můžete smazat kliknutím na Smazat tlačítko v dolní části editačního formuláře, které se také okamžitě projeví. Webmin vám však nedovolí smazat se.
Úprava řízení přístupu k modulu
Mnoho modulů Webmin umožňuje dále omezit akce, které pomocí nich může každý uživatel provádět. Skutečné možnosti řízení přístupu se pro každý modul liší a jsou podrobně zdokumentovány v Řízení přístupu k modulu část stránky, která jej pokrývá. Tato část popisuje pouze běžný proces, který je třeba dodržovat při konfiguraci toho, co může uživatel (nebo skupina) dělat s konkrétním modulem:
- Na hlavní stránce Webmin Users vyhledejte uživatele nebo skupinu, kterou chcete omezit, a klikněte na název modulu vedle jeho jména, pro který chcete omezení upravit. Zobrazí se formulář pro úpravy řízení přístupu, jehož příklad je znázorněn na obrázku níže. Tento snímek obrazovky pochází z modulu Uživatelé a skupiny, takže pokud vyberete jiný modul, dostupné možnosti nebudou stejné.
- Chcete-li uživateli zabránit ve změně konfigurace modulu, nastavte Může upravit konfiguraci modulu? pole na Ne . Toto by mělo být provedeno vždy, protože ve většině modulů lze nastavení konfigurace změnit, aby uživatel mohl získat root přístup nebo jinak uniknout omezením řízení přístupu, která jste nastavili.
- Změňte další možnosti ve formuláři a omezte uživatele jakýmkoli způsobem. Každý modul obsažený v této knize má ve své kapitole část, která přesně vysvětluje, co daná pole znamenají, a uvádí příklady, jak nastavit běžné typy řízení přístupu.
- Klikněte na tlačítko Uložit tlačítko pro okamžité provedení změn a návrat na hlavní stránku modulu.
Formulář řízení přístupu k modulu pro uživatele a skupiny
Ne všechny moduly umožňují omezit, co může uživatel dělat, protože by to nedávalo žádný smysl. Modul Software Packages například neumožňuje konfigurovat omezení řízení přístupu. Jeho primárním účelem je instalace nových balíčků a každý uživatel s právy k instalaci balíčku si může vytvořit a nainstalovat svůj vlastní, který mu poskytne root přístup. V modulech, jako jsou tyto, pouze Můžete upravit konfiguraci modulu? ve formuláři řízení přístupu se zobrazí možnost. Pro moduly, které nemají jiné možnosti než toto, neexistuje žádné Řízení přístupu k modulu sekce v jejich kapitole knihy.
Na začátku seznamu modulů vedle každého uživatele je položka nazvaná Globální ACL . Pokud na to kliknete, dostanete se do formuláře pro řízení přístupu, který umožňuje úpravu omezení platných ve všech modulech. Pole a jejich význam jsou:
- Kořenový adresář pro výběr souborů Ve Webminu je mnoho polí pro zadání názvu souboru nebo adresáře a vedle většiny z nich je tlačítko, které vyskočí jednoduché okno pro výběr výplně. Uživatelé nebudou moci použít tento nástroj pro výběr souborů k výpisu adresářů mimo jakoukoli cestu, kterou zadáte do tohoto pole. Ve výchozím nastavení je nastavena na /, takže lze procházet celý souborový systém. Tato možnost pouze řídí, které adresáře lze procházet pomocí nástroje pro výběr souborů. Uživatel může stále ručně zadat JAKOUKOLI cestu do pole názvu souboru, pokud modul nemá vlastní omezení řízení přístupu.
- Uživatelé viditelní ve výběru uživatelů Ve většině modulů Webmin, když je zobrazeno pole uživatelského jména, je vedle něj tlačítko, které zobrazí okno pro výběr jednoho nebo více uživatelů. Tato volba vám umožňuje řídit, kteří uživatelé se objeví v tomto vyskakovacím okně, takže konkrétní uživatel Webmin nevidí všechny uživatele Unixu ve vašem systému. Tato možnost řízení přístupu nijak nebrání uživateli v ručním zadání libovolného uživatelského jména, které si zvolí – pouze omezuje seznam položek, které se objeví ve vyskakovacím okně.
- Skupiny viditelné ve výběru skupin Tato možnost funguje úplně stejně jako ta výše, ale místo toho se vztahuje na vyskakovací okno pro výběr skupiny.
- Můžete poslat zpětnou vazbu e-mailem? Při použití motivu Webmin, který je ve výchozím nastavení povolen, se na každé stránce v pravém horním rohu zobrazí tlačítko Zpětná vazba. Změna této možnosti na Ne odstraní tlačítko a změní ho na Ano, ale ne s konfigurací soubory zabrání uživateli v odesílání zpětné vazby pomocí Zahrnout konfiguraci modulu do e-mailu vybrána možnost. Vzhledem k tomu, že veškerá zpětná vazba jde ve výchozím nastavení k autorovi Webminu, její deaktivace má smysl pro jiné uživatele, než je hlavní administrátor.
- Můžete přijímat volání RPC? Webmin má svůj vlastní mechanismus RPC (remote procedure call), který používají moduly clusteru, System a Server Status a další moduly. Jakýkoli klientský program, který provádí volání RPC na server Webmin, se musí nejprve přihlásit jako běžný uživatel pomocí klienta webového prohlížeče. Klient RPC však může přistupovat ke všem funkcím Webminu, upravovat libovolné soubory a spouštět příkazy jako root – bez ohledu na jakékoli nastavení řízení přístupu. Z tohoto důvodu by uživatelé bez plného přístupu k Webminu měli mít tuto možnost nastavenou na Ne . Výchozí hodnota je Pouze pro uživatele root nebo správce , což znamená, že pouze pokud je uživatel nazýván root nebo admin, lze jej použít k přihlášení k RPC. Protože uživatelé root a admin mají obvykle plný přístup k Webminu, nejedná se o bezpečnostní problém. Pokud však vytvoříte nového uživatele s jedním z těchto dvou jmen a udělíte mu pouze omezený přístup Webmin, ujistěte se, že je tato možnost nastavena na Ne .
Pro téměř všechny uživatele Webminu, dokonce i pro ty, kteří mají povolený pouze omezený přístup k některým modulům, budou výchozí možnosti Global ACL fungovat dobře a není třeba je měnit.
Vytváření a úpravy skupin Webmin
Pokud chcete vytvořit velký počet uživatelů, kteří budou mít všichni přístup ke stejným modulům se stejnými možnostmi řízení přístupu, nejlepším řešením je vytvořit skupinu Webmin. Stejně jako uživatelé mají skupiny přístup k podmnožině dostupných modulů Webmin a mají oprávnění k řízení přístupu v těchto modulech. Pokud změníte dostupné moduly nebo oprávnění pro skupinu, změní se také oprávnění všech členů.
Skupina může být sama členem jiné skupiny, ze které zdědí všechny povolené moduly a nastavení řízení přístupu. Pokud se nadřazená skupina jakýmkoli způsobem změní, promítnou se tyto změny do všech členských skupin a jejich uživatelů. Počet úrovní vnoření skupin, které můžete vytvořit, není omezen.
Chcete-li vytvořit novou skupinu, postupujte takto:
- Na hlavní stránce modulu Webmin Users klikněte na odkaz *Vytvořit novou skupinu Webmin* v dolní části stránky v části Skupiny Webmin sekce. Tím se dostanete do formuláře pro vytvoření skupiny, který je znázorněn na obrázku 52-4.
- Vyplňte Název skupiny pole s jedinečným názvem, který nepoužívá žádný jiný existující uživatel nebo skupina.
- Chcete-li, aby se tato nová skupina stala členem existující skupiny, vyberte ji v části Člen skupiny Jídelní lístek.
- Vyberte všechny moduly, ke kterým mají mít členové této skupiny přístup, z modulů pro členy seznam. Ti z jakékoli nadřazené skupiny budou automaticky zahrnuti.
- Klikněte na tlačítko Uložit tlačítko pro vytvoření nové skupiny a váš prohlížeč se vrátí na hlavní stránku modulu.
- Nakonfigurujte nastavení řízení přístupu pro členy skupiny kliknutím na názvy modulů vedle názvu skupiny na hlavní stránce, jak je popsáno v části Úprava řízení přístupu k modulu sekce výše.
- Nyní můžete vytvářet nové uživatele Webmin nebo upravovat stávající, abyste se stali členy nové skupiny.
Formulář pro vytvoření skupiny Webmin
Jakmile je skupina vytvořena, lze ji upravit kliknutím na její název v tabulce pod Skupinou Webmin na hlavní stránce modulu. Tím se dostanete do formuláře pro úpravy skupiny, ve kterém můžete změnit kterýkoli z jejích atributů, než je použijete pomocí tlačítka Uložit knoflík. Nebo můžete skupinu úplně smazat pomocí Smazat pokud nemá žádné uživatele ani skupiny.
Požadavek na klientský klíč SSL
Obvykle se uživatelé ověřují na Webmin pomocí uživatelského jména a hesla. Pokud však používáte režim SSL a používáte moderní prohlížeč, jako je IE nebo Netscape, je možné nastavit Webmin tak, aby vás místo toho ověřoval pomocí klíče SSL na straně klienta. Webový server SSL obvykle odesílá svůj certifikát klientovi pro účely autentizace, ale protokol také umožňuje klientům odesílat své certifikáty na server.
Výhodou této metody je, že si již není potřeba pamatovat uživatelské jméno a heslo a že starý způsob autentizace lze deaktivovat, takže se mohou připojit pouze klienti s klíčem SSL. Útočníci se tak nemohou dostat dovnitř tím, že uhodnou vaše heslo nebo se vám při psaní dívají přes rameno. Některé prohlížeče dokonce podporují ukládání klíčů SSL na vyměnitelné čipové karty, což je ještě bezpečnější.
Před vydáním klientského klíče musí být Webmin přepnut do režimu SSL a vygenerován klíč certifikační autority. Obě tato témata jsou zahrnuta v kapitole 51. Jakmile to uděláte, kroky k vyžádání klíče jsou:
- Přihlaste se do Webminu jako uživatel, pro kterého chcete vytvořit klíč, pomocí prohlížeče, ve kterém má být klíč uložen. Prohlížeče uchovávají seznam klíčů na straně klienta, obvykle chráněný nějakým heslem, které je třeba zadat pouze jednou. když je nejprve potřeba klíč. Obvykle je však možné exportovat klíče do jiného prohlížeče stejného typu.
- Přejděte do modulu Webmin Users a klikněte na ikonu *Request an SSL Certificate* ve spodní části stránky.
- Formulář, který se zobrazí, se bude lišit v závislosti na tom, zda používáte IE nebo Netscape. Následující pokyny platí pro Netscape a Mozillu, protože jsou nejběžnějšími prohlížeči na systémech Unix.
- Zadejte jméno do pole Vaše jméno pole, jako je Joe Bloggs .
- Do pole E-mailová adresa zadejte svou e-mailovou adresu pole, například [email protected] .
- Pokud je váš systém Webmin v síti společnosti nebo organizace, bude v Oddělení a Organizace pole. V opačném případě mohou být ponechány prázdné.
- Zadejte stav, ve kterém se váš systém nachází, do Stav pole, jako je Kalifornie .
- Zadejte dvoupísmenný kód země, například US do pole *Kód země*.
- Z Velikost klíče vyberte počet bitů v klíči SSL, který bude vytvořen. Čím vyšší číslo, tím bezpečnější, ale ověření bude trvat déle. 1024 bitů by mělo být dostatečně bezpečné pro každého.
- Klikněte na Vydat certifikát knoflík. Váš prohlížeč by měl vyskočit okno ukazující průběh generování klíče, které se provádí na klientském systému. Po dokončení a odeslání zpět do Webminu se zobrazí stránka o úspěchu.
- Klikněte na vyzvednout certifikát odkaz pro uložení nově vygenerovaného a podepsaného klíče ve vašem prohlížeči. Prohlížeč vás může požádat o heslo pro zabezpečení vašich certifikátů.
- Chcete-li otestovat, že vše fungovalo, odhlaste se z Webminu a ukončete prohlížeč. Při opětovném spuštění a pokusu o připojení by měla být přeskočena přihlašovací stránka a zobrazeno hlavní menu. Text Certifikováno SSL by se měl objevit vedle vašeho uživatelského jména ve stavovém řádku prohlížeče.
- Jakmile bude autentizace klienta SSL fungovat, možná již nebudete chtít, aby se klienti mohli přihlašovat jako tento uživatel Webmin pomocí uživatelského jména a hesla. Chcete-li to vynutit, přejděte do modulu Uživatelé Webmin, klikněte na své uživatelské jméno a vyberte možnost Není přijato žádné heslo z Hesla a klikněte na Uložit .
Zobrazení a odpojení relací přihlášení
Když je Webmin v režimu ověřování relace (jak je ve výchozím nastavení), sleduje všechny aktuálně přihlášené uživatele. Tyto informace můžete zobrazit a zrušit relace, které se zdají být neplatné, pomocí následujících kroků:
- Klikněte na Zobrazit relace přihlášení ikona ve spodní části hlavní stránky modulu Webmin Users.
- Na stránce, která se zobrazí, bude uvedeno ID, přihlašovací jméno a čas připojení každé aktivní relace, přičemž nejnovější bude zobrazeno jako první. Je docela možné, že pro stejného uživatele existuje několik relací, protože mnoho lidí se neobtěžuje řádně se odhlásit z Webminu. Staré relace však budou po 1 týdnu automaticky odstraněny.
- Chcete-li zobrazit akce provedené v některé relaci, klikněte na Zobrazit protokoly odkaz v posledním sloupci. Tím se dostanete na seznam akcí v modulu Webmin Actions Log.
- Chcete-li relaci zrušit, klikněte na její ID. Tím se uživatel okamžitě odhlásí, ale nezabije žádné CGI programy, které pro něj Webmin aktuálně spouští.
Řízení přístupu k modulu
Zajímavé je, že modul Webmin Users má vlastní sadu možností řízení přístupu, které lze použít k určení, které další uživatele může konkrétní uživatel Webminu upravovat. To se obvykle používá k tomu, aby uživatel podřízeného správce mohl vytvářet a upravovat pouze podmnožinu uživatelů Webmin a udělovat jim přístup pouze k několika modulům. Chcete-li nastavit tento druh přístupu, postupujte takto:
- V modulu Webmin Users klikněte na Webmin Users vedle jména podadministrátora, kterého chcete omezit.
- Změnit Lze upravit konfiguraci modulu? na Ne .
- Nastavte Uživatelé, které lze upravovat možnost Vybraní uživatelé a vyberte účty, které chcete, aby mohl podsprávce upravovat.
- Změňte možnost Může udělit přístup do pole Vybrané moduly a vyberte ze seznamu níže moduly, které může administrátor udělit novým nebo upraveným uživatelům. Nemá smysl vybírat moduly, ke kterým subadmin již nemá přístup.
- Změnit Lze přejmenovat uživatele? , Lze upravit řízení přístupu modulu? , Můžete požádat o certifikát? , Lze konfigurovat synchronizaci uživatelů? , Lze konfigurovat unixové ověřování? , Můžete zobrazit a zrušit přihlášení? A Můžete upravovat skupiny? Komu Ne . Všechna ostatní pole ano/ne lze nastavit na Ano .
- Změňte získání nově vytvořených uživatelů pole na *Stejné řízení přístupu k modulu jako tvůrce*. Vzhledem k tomu, že subadministrátor nemůže upravovat nastavení řízení přístupu modulů, které uděluje ostatním uživatelům, získají vždy stejná nastavení jako on.
- Chcete-li přinutit všechny nové a upravené uživatele, aby byli členy jedné skupiny, změňte možnost Může přiřazovat uživatele do skupin pole na Vybrané a vyberte skupinu ze seznamu níže. Nebo chcete-li zabránit podsprávci ve výběru jakékoli skupiny, vyberte <Žádné> volba. Může mít smysl povolit vytváření uživatelů, kteří musí být členy skupiny, která byla vytvořena s příslušnými omezenými moduly a oprávněními. Pokud ano, v kroku 4 byste neměli ze seznamu vybírat vůbec žádné moduly, aby vytvořeným uživatelům byly dostupné pouze moduly ze skupiny.
- Klikněte na tlačítko Uložit tlačítko pro návrat na hlavní stránku modulu.
- Pokud nenutíte všechny nové uživatele, aby byli členy určité skupiny, ujistěte se, že nastavení řízení přístupu v ostatních modulech pro podadministrátora bylo správně nastaveno. Budou je zdědit všichni noví uživatelé, které vytvoří.
Nastavení řízení přístupu Webmin Users lze také nakonfigurovat tak, aby umožňovalo uživateli měnit některá svá vlastní nastavení, ale neupravovat ostatní uživatele ani si udělovat další oprávnění. Chcete-li to nastavit, postupujte takto:
- Klikněte na Webmin Users vedle jména uživatele nebo skupiny, kterému chcete udělit práva k jeho úpravám. Přirozeně musí mít uživatel již udělen přístup k modulu.
- Změnit Lze upravit konfiguraci modulu? na Ne .
- Nastavte Uživatelé, které lze upravovat možnost Tohoto uživatele .
- Nastavte Může udělit přístup k pole na Vybrané moduly , ale nevybírejte žádné ze seznamu níže. Tím zabráníte tomu, aby si uživatel udělil jakýkoli další přístup k modulu.
- Změnit Můžete požádat o certifikát? , Lze změnit jazyk? , Lze změnit kategorizaci? a Lze změnit osobní motiv? na Ano a všechna ostatní pole ano/ne na Ne .
- Změnit Lze upravovat skupiny? na Ne a nastavte *Může přiřadit uživatele ke skupinám?* na Vybráno ale nevybírejte žádné ze seznamu.
- Nakonec klikněte na Uložit . Uživatel Webminu bude nyní moci pomocí modulu změnit pouze své vlastní heslo, jazyk, téma a režim kategorizace a požádat o SSL certifikát na straně klienta.
Konfigurace modulu Webmin Users
Modul Webmin Users má několik možností, které lze konfigurovat kliknutím na Module Config odkaz na hlavní stránce. Upravitelná pole a jejich význam jsou: