GNU/Linux >> LINUX-Kenntnisse >  >> Panels >> Webmin

Webmin-Benutzer

Auf dieser Seite erfahren Sie, wie Sie neue Webmin-Benutzer mit Zugriff auf nur einige Module erstellen und genau einschränken, was Benutzer in jedem Modul tun können.

Einführung in Webmin-Benutzer, -Gruppen und -Berechtigungen

Eine standardmäßige, sofort einsatzbereite Webmin-Installation hat nur einen Benutzer (Root oder Admin genannt), der alle Funktionen jedes Moduls verwenden kann. Auf einem Heim- oder Bürosystem, das nur von einer Person verwendet wird, ist das alles, was Sie brauchen. Selbst wenn Ihr System mehrere Benutzer hat, muss möglicherweise nur einer Systemverwaltungsaufgaben ausführen.

Es gibt jedoch viele Situationen, in denen der Administrator einigen Personen Zugriff auf eine Teilmenge der Funktionen von Webmin gewähren möchte. Beispielsweise haben Sie möglicherweise eine Person in Ihrer Organisation, deren Aufgabe es ist, DNS-Zonen und -Einträge zu erstellen und zu bearbeiten. Auf einem normalen Unix-System müsste dieser Person Root-Zugriff gegeben werden, damit er die Zonendateien bearbeiten und den DNS-Server bei Bedarf neu starten kann. Sobald sich jemand als root anmelden kann, hat er leider die volle Kontrolle über das System und kann tun, was er will.

Webmin löst diese Art von Problem, indem es Ihnen ermöglicht, zusätzliche Benutzer zu erstellen, die sich anmelden können, aber nur auf einige Module zugreifen. Sie können die Möglichkeiten des Benutzers innerhalb jedes Moduls weiter einschränken, sodass er seine Funktionen nicht missbrauchen kann, um Aktionen auszuführen, die er nicht ausführen sollte. Da Webmin immer noch mit vollen Root-Rechten läuft, selbst wenn es von einem eingeschränkten Benutzer verwendet wird, hat es immer noch Zugriff auf alle Konfigurationsdateien und Befehle, die es benötigt.

Einige Beispiele für die Art von Zugriffsbeschränkungen, die Sie einrichten können, sind :

  • Erstellen eines Benutzers mit dem Recht, Anweisungen in nur wenigen virtuellen Apache-Servern zu bearbeiten, die er besitzt. Globale Einstellungen oder Anweisungen in anderen virtuellen Hosts können nicht bearbeitet werden.
  • Einem Benutzer das Recht geben, Unix-Benutzer mit UIDs innerhalb eines bestimmten Bereichs und mit Home-Verzeichnissen unter einem eingeschränkten Verzeichnis zu bearbeiten und zu erstellen. Wichtige Systembenutzer wie root oder bin können nicht bearbeitet oder gar eingesehen werden.
  • Erlauben eines Benutzerzugriffs auf nur eine MySQL-Datenbank, aber nicht auf andere Datenbanken oder Benutzerberechtigungen. Eine ähnliche Zugriffskontrolle kann für PostgreSQL eingerichtet werden.
  • Gewähren eines Benutzerzugriffs auf die Squid-Zugriffskontrollliste, aber nicht auf andere Funktionen. Dem Benutzer könnte gestattet werden, seine Konfigurationsänderungen anzuwenden, aber den Proxy-Server nicht zu starten oder zu stoppen.
  • Benutzerdefinierte Befehle erstellen und einem Benutzer dann die Rechte erteilen, nur einige davon auszuführen, aber keine zu erstellen oder zu bearbeiten.
  • Ermöglichen, dass ein Benutzer Druckaufträge im Druckerverwaltungsmodul anzeigen und abbrechen, jedoch keine tatsächlichen Drucker bearbeiten oder erstellen kann.

Viele dieser Rechte wären mit Befehlszeilentools unmöglich zu gewähren, ohne Root-Zugriff auf das gesamte System zu gewähren. Sogar Programme wie sudo sind eingeschränkt, wenn es darum geht, einem Benutzer zu erlauben, nur einen Teil einer Datei zu bearbeiten oder einen Befehl nur mit bestimmten Argumenten auszuführen.

Sie müssen jedoch sehr vorsichtig sein, wenn Sie nicht vertrauenswürdigen Webmin-Benutzern Zugriff gewähren, da selbst ein kleiner Fehler in der Zugriffssteuerungskonfiguration dem Benutzer ermöglichen kann, beliebige Dateien auf Ihrem System zu bearbeiten oder Befehle als root auszuführen. Alles, was es braucht, ist ein kleines Loch, durch das sich ein Angreifer schleichen und die vollständige Kontrolle über Ihr System übernehmen kann. Die Zugriffskontrollfunktionen von Webmin geben Ihnen die Möglichkeit, Benutzer zu sperren, aber nur bei richtiger Verwendung.

Auch wenn es möglich ist, einen Benutzer anzulegen, der nur Zugriff auf seine eigene E-Mail, sein Home-Verzeichnis und sein Passwort hat, ist Webmin nicht immer der beste Weg, um diese Art von Einzelbenutzer-Webschnittstelle bereitzustellen. Ein überlegenes Programm ist Usermin, das vom selben Autor entwickelt wurde und einen Großteil des Webmin-Codes und der Benutzeroberfläche teilt. Es wurde entwickelt, um jedem Unix-Benutzer nur Zugriff auf die Dinge zu geben, auf die er auch über die Befehlszeile zugreifen könnte, wie z. B. seine E-Mails, Home-Verzeichnisdateien und die GNUPG-Konfiguration. Usermin führt den größten Teil seines Codes mit den Berechtigungen des angemeldeten Benutzers aus, sodass die Wahrscheinlichkeit weit geringer ist, dass ein Benutzer Dinge tut, die er nicht tun sollte, oder sogar Root-Zugriff erhält. Siehe Usermin-Konfiguration für weitere Details darüber, wie Sie Usermin innerhalb von Webmin verwalten können.

Inhalt

Das Webmin-Benutzermodul

Wenn Sie einem Webmin-Benutzer oder einer Webmin-Gruppe Berechtigungen erstellen, bearbeiten oder erteilen möchten, muss dies in diesem Modul erfolgen. Wenn Sie es aus der Kategorie Webmin eingeben, zeigt die Hauptseite alle Benutzer und Gruppen auf Ihrem System und die Module, auf die sie Zugriff haben, wie in der Abbildung unten gezeigt. Wenn ein Benutzer Mitglied einer Gruppe ist, werden seine Mitgliedschaft und nur die Module angezeigt, die nicht aus der Gruppe stammen.


Das Webmin-Benutzermodul

Auf einem normalen Webmin-System erscheint nur der Root- oder Admin-Benutzer, als der Sie sich anmelden, und der Zugriff auf alle Module hat, die von Ihrem Betriebssystem unterstützt werden.

Erstellen eines neuen Webmin-Benutzers

Wenn Sie einen neuen Benutzer erstellen möchten, der sich bei Webmin anmelden kann, möglicherweise mit eingeschränkten Rechten, muss er in diesem Modul erstellt werden. Die Schritte dazu sind:

  1. Klicken Sie auf der Hauptseite des Moduls auf den Link *Neuen Webmin-Benutzer erstellen* über oder unter der Liste der vorhandenen Benutzer. Dadurch wird das in Abbildung 52-2 gezeigte Erstellungsformular angezeigt.
  2. Geben Sie einen Anmeldenamen in den Benutzernamen ein Feld. Der Name darf nicht bereits von einem anderen Benutzer oder einer anderen Gruppe verwendet werden.
  3. Um den Benutzer zu einem Teil einer Gruppe zu machen, wählen Sie ihn im Feld *Mitglied der Gruppe* aus. Alle Module der Gruppe werden dem Benutzer zusätzlich zu den Modulen gewährt, die Sie auf dieser Seite auswählen, und alle Zugriffskontrollbeschränkungen, die für die Gruppe in diesen Modulen gelten, gelten auch für den Benutzer. Weitere Informationen zum Hinzufügen neuer Gruppen zur Liste finden Sie im Abschnitt *Erstellen und Bearbeiten von Webmin-Gruppen*.
  4. Um dem Benutzer ein normales Passwort zuzuweisen, wählen Sie Festlegen auf aus dem Menü im Passwort aus und tragen Sie ihn in das daneben liegende Feld ein. Wenn der neue Benutzer denselben Namen wie ein Unix-Benutzer hat, können Sie Unix-Authentifizierung auswählen Stattdessen soll Webmin PAM verwenden oder die /etc/shadow-Datei lesen, um den Benutzer zu validieren. Um zu verhindern, dass sich der Benutzer überhaupt anmeldet, wählen Sie Kein Passwort akzeptiert . Dies kann eine gute Idee sein, wenn Sie einen Benutzer mit eingeschränkten Rechten erstellen, sodass er sich nicht anmelden kann, bis Sie die Einschränkung seines Zugriffs abgeschlossen haben.
  5. Damit Webmin für den Benutzer eine andere Sprache als die globale Standardeinstellung verwendet, wählen Sie eine aus der Sprache aus Feldmenü.
  6. In den meisten Themen werden Modulsymbole auf der Hauptseite von Webmin unter Kategorien angezeigt. Wenn dieser neue Benutzer nur Zugriff auf einige wenige Module erhalten soll, ist dies nicht wirklich notwendig und Sie können die Module kategorisieren? ändern Feld auf Nein .
  7. Um die Webmin-Benutzeroberfläche mit einem anderen Thema für den Benutzer anzuzeigen, stellen Sie es im Persönlichen Thema ein Feld.
  8. Um die Adressen einzuschränken, von denen sich der neue Benutzer bei Webmin anmelden kann, ändern Sie die IP-Zugriffskontrolle Feld auf *Nur gelistete Adressen zulassen*. Füllen Sie dann das Textfeld daneben mit Hostnamen, IP-Adressen, Netzwerk/Netzmasken-Paaren oder Wildcard-Hostnamen (wie *.foo.com) aus ). Beachten Sie, dass diese Einschränkungen erst überprüft werden, nachdem alle im Webmin-Konfigurationsmodul festgelegten globalen IP-Zugriffssteuerungen bestanden wurden.
  9. Wählen Sie unter Module alle Module aus, auf die der Benutzer Zugriff haben soll Sektion.
  10. Wenn Sie fertig sind, klicken Sie auf Speichern Schaltfläche, um den neuen Benutzer erstellen zu lassen. Sie kehren zur Hauptseite des Moduls zurück und er kann sich sofort anmelden.

Um die Möglichkeiten des neuen Benutzers in jedem Modul, auf das Sie ihm Zugriff gewährt haben, weiter einzuschränken, lesen Sie den Abschnitt *Zugriffskontrolle für Module bearbeiten* weiter unten.


Erstellen eines neuen Webmin-Benutzers

Sie können das Erstellen eines neuen Benutzers beschleunigen, der dieselben Attribute und Zugriffsberechtigungen wie ein vorhandener Benutzer hat, indem Sie die Klonfunktion des Moduls verwenden. Gehen Sie wie folgt vor, um einen Benutzer zu klonen:

  1. Klicken Sie auf der Hauptseite des Moduls auf den Benutzernamen des vorhandenen Benutzers, den Sie klonen möchten.
  2. Klicken Sie auf den Klon Schaltfläche am unteren Rand des Bearbeitungsformulars. Dadurch gelangen Sie zu dem in Abbildung 52-2 gezeigten Erstellungsformular, in dem die meisten Felder jedoch bereits mit den Attributen des ursprünglichen Benutzers ausgefüllt sind.
  3. Geben Sie den Benutzernamen ein Feld und legen Sie das Passwort fest , da sie nicht vom geklonten Benutzer kopiert werden. Sie können auch die Werte in allen anderen Feldern anpassen.
  4. Wenn Sie fertig sind, klicken Sie auf Erstellen Taste. Der neue Benutzer erhält eine Kopie aller Modulzugriffskontrolleinstellungen vom ursprünglichen Benutzer, aber sie werden nicht aktualisiert, wenn der ursprüngliche Benutzer in Zukunft geändert wird.

Wenn Sie viele Benutzer mit Zugriff auf dieselben Module und dieselben Zugriffskontrolleinstellungen erstellen möchten, ist es besser, eine Gruppe zu erstellen und ihr die Benutzer zuzuweisen. Auf diese Weise können Sie die Einstellungen für alle Mitglieder auf einmal ändern, indem Sie einfach die Gruppe bearbeiten.

Bearbeiten eines Webmin-Benutzers

Mit diesem Modul können Sie den Benutzernamen, das Passwort, die Sprache oder jedes andere Attribut eines Webmin-Benutzers (einschließlich des Benutzers, als der Sie angemeldet sind) ändern. Um einen Benutzer zu bearbeiten, gehen Sie wie folgt vor:

  1. Klicken Sie auf der Hauptseite des Moduls auf seinen Benutzernamen. Dadurch gelangen Sie zu einem Bearbeitungsformular, ähnlich dem im Bild oben gezeigten.
  2. Standardmäßig bleibt das Passwort unverändert. Um es zu bearbeiten, wählen Sie Set to *from the *Password Feldmenü und geben Sie ein neues Passwort in das Feld daneben ein.
  3. Ändern Sie beliebige andere Felder im Formular, wie im Abschnitt Erstellen eines neuen Webmin-Benutzers beschrieben Sektion. Sie können den Benutzer sogar in eine andere Gruppe verschieben, was dazu führt, dass er den Zugriff auf alle Module in der ursprünglichen Gruppe verliert und Zugriff auf die Module in der neuen Gruppe erhält. Wenn Sie selbst editieren, erlaubt Ihnen Webmin nicht, den Zugriff auf das Webmin-Benutzermodul zu entziehen. Dies soll Sie davor schützen, sich aus dem Modul auszusperren und sich den Zugriff nicht wieder selbst gewähren zu können.
  4. Wenn Sie fertig sind, klicken Sie auf Speichern Schaltfläche, damit die Änderungen sofort übernommen werden. Wenn der Benutzername oder das Passwort geändert wurde und der Benutzer derzeit angemeldet ist und Webmin sich nicht im Sitzungsauthentifizierungsmodus befindet, muss er sich erneut anmelden.

Sie können einen Benutzer löschen, indem Sie auf Löschen klicken Schaltfläche am unteren Rand des Bearbeitungsformulars, die ebenfalls sofort wirksam wird. Webmin erlaubt Ihnen jedoch nicht, sich selbst zu löschen.

Modulzugriffskontrolle bearbeiten

Bei vielen Webmin-Modulen können Sie die Aktionen, die jeder Benutzer mit ihnen ausführen kann, weiter einschränken. Die tatsächlichen Zugriffssteuerungsoptionen sind für jedes Modul unterschiedlich und im Detail unter Modulzugriffssteuerung dokumentiert Abschnitt der Seite, der ihn abdeckt. Dieser Abschnitt beschreibt nur den allgemeinen Prozess, dem Sie folgen müssen, um zu konfigurieren, was ein Benutzer (oder eine Gruppe) mit einem bestimmten Modul tun kann:

  1. Suchen Sie auf der Hauptseite der Webmin-Benutzer den Benutzer oder die Gruppe, die Sie einschränken möchten, und klicken Sie auf den Namen des Moduls neben seinem Namen, für das Sie die Einschränkungen bearbeiten möchten. Dadurch wird das Bearbeitungsformular für die Zugriffskontrolle angezeigt, von dem ein Beispiel in der Abbildung unten gezeigt wird. Dieser Screenshot stammt aus dem Modul „Benutzer und Gruppen“. Wenn Sie also ein anderes Modul auswählen, sind die verfügbaren Optionen nicht dieselben.
  2. Um zu verhindern, dass der Benutzer die Konfiguration des Moduls ändert, setzen Sie die Option Kann Modulkonfiguration bearbeiten? Feld auf Nein . Dies sollte immer getan werden, da in den meisten Modulen die Konfigurationseinstellungen geändert werden könnten, um dem Benutzer zu ermöglichen, root zu werden Zugang zu den von Ihnen eingerichteten Zugangskontrollbeschränkungen zu haben oder ihnen anderweitig zu entgehen.
  3. Ändern Sie andere Optionen im Formular, um den Benutzer nach Belieben einzuschränken. Jedes Modul, das in diesem Buch behandelt wird, hat einen Abschnitt in seinem Kapitel, der genau erklärt, was die Felder bedeuten, und Beispiele dafür gibt, wie gängige Arten der Zugriffskontrolle eingerichtet werden.
  4. Klicken Sie auf Speichern Schaltfläche, um Ihre Änderungen sofort zu aktivieren und zur Hauptseite des Moduls zurückzukehren.


Das Modulzugriffskontrollformular für Benutzer und Gruppen

Nicht alle Module ermöglichen es Ihnen, die Möglichkeiten eines Benutzers einzuschränken, da dies keinen Sinn machen würde. Beispielsweise erlaubt das Modul Softwarepakete keine Konfiguration von Zugriffskontrollbeschränkungen. Sein Hauptzweck ist die Installation neuer Pakete, und jeder Benutzer mit den Rechten zum Installieren eines Pakets kann sein eigenes erstellen und installieren, das ihm Root-Zugriff gibt. In solchen Modulen wird nur Modulkonfiguration bearbeiten? angezeigt Option erscheint auf dem Zugriffskontrollformular. Für Module, die keine anderen Optionen als diese haben, gibt es keine Modulzugriffskontrolle Abschnitt in ihrem Kapitel des Buches.

Am Anfang der Modulliste neben jedem Benutzer befindet sich ein Eintrag namens Global ACL . Wenn Sie darauf klicken, gelangen Sie zu einem Zugangskontrollformular, das die Bearbeitung von Einschränkungen ermöglicht, die in allen Modulen gelten. Die Felder und ihre Bedeutung sind:

  • Stammverzeichnis für Dateiauswahl Es gibt viele Felder in Webmin, um einen Datei- oder Verzeichnisnamen einzugeben, und neben den meisten von ihnen befindet sich eine Schaltfläche, die ein einfaches Auswahlfenster zum Ausfüllen öffnet. Benutzer können diese Dateiauswahl nicht verwenden, um Verzeichnisse außerhalb des Pfads aufzulisten, den Sie in dieses Feld eingeben. Standardmäßig ist es auf / gesetzt, damit das gesamte Dateisystem durchsucht werden kann. Diese Option steuert nur, welche Verzeichnisse mit der Dateiauswahl durchsucht werden können. Ein Benutzer kann immer noch JEDEN Pfad manuell in ein Dateinamenfeld eingeben, es sei denn, das Modul hat seine eigenen Zugriffskontrollbeschränkungen.
  • Benutzer in der Benutzerauswahl sichtbar Wenn in den meisten Webmin-Modulen ein Benutzernamenfeld angezeigt wird, befindet sich daneben eine Schaltfläche, die ein Fenster zum Auswählen eines einzelnen oder mehrerer Benutzer öffnet. Mit dieser Option können Sie steuern, welche Benutzer in diesem Popup-Fenster erscheinen, sodass ein bestimmter Webmin-Benutzer nicht alle Unix-Benutzer auf Ihrem System sehen kann. Diese Zugriffssteuerungsoption hält den Benutzer nicht davon ab, einen beliebigen Benutzernamen manuell einzugeben – sie schränkt lediglich die Liste ein, die im Popup-Fenster angezeigt wird.
  • Gruppen in der Gruppenauswahl sichtbar Diese Option funktioniert genauso wie die obige, bezieht sich aber stattdessen auf das Popup-Gruppenauswahlfenster.
  • Darf Feedback-E-Mail senden? Wenn Sie das standardmäßig aktivierte Webmin-Design verwenden, wird auf jeder Seite in der oberen rechten Ecke eine Feedback-Schaltfläche angezeigt. Ändern Sie diese Option in Nein entfernt die Schaltfläche und ändert sie in Ja, aber nicht mit Konfiguration Dateien verhindern, dass der Benutzer Feedback mit der Modulkonfiguration in E-Mail einbeziehen sendet Option ausgewählt. Da alle Rückmeldungen standardmäßig an den Autor von Webmin gehen, ist die Deaktivierung für andere Benutzer als den Hauptadministrator sinnvoll.
  • Kann RPC-Aufrufe annehmen? Webmin verfügt über einen eigenen RPC-Mechanismus (Remote Procedure Call), der von den Cluster-Modulen System and Server Status und anderen Modulen verwendet wird. Jedes Client-Programm, das einen RPC-Aufruf an einen Webmin-Server sendet, muss sich zuerst als normaler Benutzer mit einem Webbrowser-Client anmelden. Ein RPC-Client kann jedoch auf alle Funktionen von Webmin zugreifen, beliebige Dateien bearbeiten und Befehle als root ausführen - unabhängig von Einstellungen zur Zugriffskontrolle. Aus diesem Grund sollten Benutzer ohne vollen Zugriff auf Webmin diese Option auf Nein setzen . Der Standardwert ist Nur für Root oder Admin , was bedeutet, dass nur Benutzer mit dem Namen root oder admin zur Anmeldung für RPC verwendet werden können. Da die Root- und Admin-Benutzer normalerweise ohnehin vollen Zugriff auf Webmin haben, ist dies kein Sicherheitsproblem. Wenn Sie jedoch einen neuen Benutzer mit einem dieser beiden Namen erstellen und ihm nur eingeschränkten Webmin-Zugriff gewähren, stellen Sie sicher, dass diese Option auf Nein eingestellt ist .

Für fast alle Webmin-Benutzer, selbst diejenigen, denen nur eingeschränkter Zugriff auf einige Module gewährt wird, funktionieren die standardmäßigen globalen ACL-Optionen gut und müssen nicht geändert werden.

Erstellen und Bearbeiten von Webmin-Gruppen

Wenn Sie eine große Anzahl von Benutzern erstellen möchten, die alle Zugriff auf dieselben Module mit denselben Zugriffssteuerungsoptionen haben, besteht die beste Lösung darin, eine Webmin-Gruppe zu erstellen. Wie Benutzer haben Gruppen Zugriff auf eine Teilmenge der verfügbaren Webmin-Module und verfügen über Zugriffssteuerungsberechtigungen in diesen Modulen. Wenn Sie die verfügbaren Module oder Berechtigungen für eine Gruppe ändern, ändern sich auch die aller Mitgliedsbenutzer.

Eine Gruppe kann selbst Mitglied einer anderen Gruppe sein, von der sie alle erlaubten Module und Zugangskontrolleinstellungen erbt. Wenn die übergeordnete Gruppe in irgendeiner Weise geändert wird, werden diese Änderungen auf alle Mitgliedsgruppen und ihre Mitgliedsbenutzer übertragen. Es gibt keine Begrenzung für die Anzahl der Gruppenverschachtelungsebenen, die Sie erstellen können.

Gehen Sie wie folgt vor, um eine neue Gruppe zu erstellen:

  1. Klicken Sie auf der Hauptseite des Webmin-Benutzermoduls unten auf der Seite unter Webmin-Gruppen auf den Link *Neue Webmin-Gruppe erstellen* Sektion. Dadurch gelangen Sie zum Gruppenerstellungsformular, das in Abbildung 52-4 gezeigt wird.
  2. Geben Sie den Gruppennamen ein Feld mit einem eindeutigen Namen, der von keinem anderen vorhandenen Benutzer oder keiner anderen Gruppe verwendet wird.
  3. Um diese neue Gruppe zu einem Mitglied einer bestehenden Gruppe zu machen, wählen Sie sie unter Mitglied der Gruppe aus Speisekarte.
  4. Wählen Sie in den Mitgliedermodulen alle Module aus, auf die Mitglieder dieser Gruppe Zugriff haben sollen aufführen. Personen aus allen Elterngruppen werden automatisch eingeschlossen.
  5. Klicken Sie auf Speichern klicken, um die neue Gruppe erstellen zu lassen, und Ihr Browser kehrt zur Hauptseite des Moduls zurück.
  6. Konfigurieren Sie die Zugriffssteuerungseinstellungen für Mitglieder der Gruppe, indem Sie auf der Hauptseite auf die Modulnamen neben dem Gruppennamen klicken, wie unter Bearbeiten der Modulzugriffssteuerung beschrieben Abschnitt oben.
  7. Sie können jetzt neue Webmin-Benutzer erstellen oder bestehende bearbeiten, um Mitglieder der neuen Gruppe zu werden.


Das Erstellungsformular für Webmin-Gruppen

Sobald eine Gruppe erstellt wurde, kann sie bearbeitet werden, indem Sie auf ihren Namen in der Tabelle unter Webmin-Gruppen auf der Hauptseite des Moduls klicken. Dadurch gelangen Sie zum Gruppenbearbeitungsformular, in dem Sie alle Attribute ändern können, bevor Sie sie mit Speichern übernehmen Taste. Oder Sie löschen die Gruppe ganz mit Löschen Schaltfläche, solange sie keine Mitgliedsbenutzer oder -gruppen hat.

Anfordern eines Client-SSL-Schlüssels

Normalerweise authentifizieren sich Benutzer mit einem Benutzernamen und einem Passwort bei Webmin. Wenn Sie jedoch im SSL-Modus arbeiten und einen modernen Browser wie IE oder Netscape verwenden, ist es möglich, Webmin so einzurichten, dass es Sie stattdessen über einen clientseitigen SSL-Schlüssel authentifiziert. Normalerweise sendet ein SSL-Webserver sein Zertifikat zu Authentifizierungszwecken an den Client, aber das Protokoll ermöglicht auch Clients, ihre Zertifikate ebenfalls an den Server zu senden.

Der Vorteil dieser Methode besteht darin, dass Sie sich keinen Benutzernamen und kein Passwort mehr merken müssen und dass die alte Authentifizierungsmethode deaktiviert werden kann, sodass nur Clients mit dem SSL-Schlüssel eine Verbindung herstellen können. Angreifer können also nicht einbrechen, indem sie Ihr Passwort erraten oder Ihnen bei der Eingabe über die Schulter schauen. Einige Browser unterstützen sogar die Speicherung von SSL-Schlüsseln auf entfernbaren Smartcards, was noch sicherer ist.

Bevor ein Client-Key ausgestellt werden kann, muss Webmin in den SSL-Modus geschaltet und ein Certificate Authority Key generiert werden. Diese beiden Themen werden in Kapitel 51 behandelt. Sobald dies erledigt ist, sind die Schritte zum Anfordern eines Schlüssels:

  1. Melden Sie sich bei Webmin als der Benutzer an, für den Sie einen Schlüssel erstellen möchten, indem Sie den Browser verwenden, in dem der Schlüssel gespeichert werden soll. Browser führen eine Liste von clientseitigen Schlüsseln, die normalerweise durch ein Kennwort geschützt sind, das nur einmal eingegeben werden muss wenn ein Schlüssel zum ersten Mal benötigt wird. Es ist jedoch normalerweise möglich, Schlüssel in einen anderen Browser des gleichen Typs zu exportieren.
  2. Gehen Sie zum Webmin-Benutzermodul und klicken Sie unten auf der Seite auf das Symbol *SSL-Zertifikat anfordern*.
  3. Das angezeigte Formular ist unterschiedlich, je nachdem, ob Sie IE oder Netscape verwenden. Die folgenden Anweisungen gelten für Netscape und Mozilla, da dies die gängigsten Browser auf Unix-Systemen sind.
  4. Geben Sie einen Namen in das Feld Ihr Name ein Feld wie Joe Bloggs .
  5. Geben Sie Ihre E-Mail-Adresse in die E-Mail-Adresse ein B. [email protected] .
  6. Wenn sich Ihr Webmin-System in einem Firmen- oder Organisationsnetzwerk befindet, wird in der Abteilung und Organisation Felder. Andernfalls können sie leer gelassen werden.
  7. Geben Sie den Zustand Ihres Systems in den Zustand ein Feld wie Kalifornien .
  8. Geben Sie einen aus zwei Buchstaben bestehenden Ländercode wie US ein in das Feld *Ländercode* ein.
  9. Von der Schlüsselgröße wählen Sie die Anzahl der Bits im SSL-Schlüssel aus, die erstellt werden. Je höher die Zahl, desto sicherer, aber desto länger dauert die Authentifizierung. 1024 Bit sollten für jeden sicher genug sein.
  10. Klicken Sie auf Zertifikat ausstellen Taste. Ihr Browser sollte ein Fenster öffnen, das den Fortschritt der Schlüsselgenerierung anzeigt, der auf dem Client-System erfolgt. Wenn es vollständig ist und an Webmin zurückgesendet wurde, wird eine Erfolgsseite angezeigt.
  11. Klicken Sie auf Zertifikat abholen Link, um den neu generierten und signierten Schlüssel in Ihrem Browser zu speichern. Möglicherweise werden Sie vom Browser nach einem Passwort gefragt, um Ihre Zertifikate zu sichern.
  12. Um zu testen, ob alles funktioniert hat, melden Sie sich von Webmin ab und beenden Sie Ihren Browser. Wenn Sie es erneut ausführen und versuchen, eine Verbindung herzustellen, sollte die Anmeldeseite umgangen und das Hauptmenü angezeigt werden. Der Text SSL zertifiziert sollte neben Ihrem Benutzernamen in der Statusleiste des Browsers erscheinen.
  13. Sobald die SSL-Client-Authentifizierung funktioniert, möchten Sie möglicherweise nicht mehr, dass Clients sich als dieser Webmin-Benutzer mit einem Benutzernamen und einem Passwort anmelden können. Um dies zu erzwingen, gehen Sie zum Webmin-Benutzermodul, klicken Sie auf Ihren Benutzernamen und wählen Sie Kein Passwort akzeptiert aus dem Passwort Menü und klicken Sie auf Speichern .

Anmeldesitzungen anzeigen und trennen

Wenn sich Webmin im Sitzungsauthentifizierungsmodus befindet (wie es standardmäßig der Fall ist), verfolgt es alle derzeit angemeldeten Benutzer. Sie können diese Informationen anzeigen und scheinbar ungültige Sitzungen stornieren, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf Anmeldesitzungen anzeigen unten auf der Hauptseite des Webmin-Benutzermoduls.
  2. Auf der angezeigten Seite werden die ID, der Anmeldename und die Verbindungszeit jeder aktiven Sitzung aufgelistet, wobei die neueste zuerst angezeigt wird. Es ist durchaus möglich, dass für denselben Benutzer mehrere Sitzungen existieren, da sich viele Leute nicht die Mühe machen, sich ordnungsgemäß von Webmin abzumelden. Alte Sitzungen werden jedoch nach 1 Woche automatisch entfernt.
  3. Um die in einer Sitzung durchgeführten Aktionen anzuzeigen, klicken Sie auf Protokolle anzeigen Link in der letzten Spalte. Dadurch gelangen Sie zu einer Liste von Aktionen im Webmin-Aktionsprotokollmodul.
  4. Um eine Sitzung abzubrechen, klicken Sie auf ihre ID. Dadurch wird der Benutzer sofort abgemeldet, aber es werden keine CGI-Programme beendet, die Webmin gerade für ihn ausführt.

Modulzugriffskontrolle

Interessanterweise verfügt das Webmin-Benutzermodul über einen eigenen Satz von Zugriffssteuerungsoptionen, mit denen festgelegt werden kann, welche anderen Benutzer ein bestimmter Webmin-Benutzer bearbeiten kann. Dies wird normalerweise verwendet, um einem Subadministrator-Benutzer die Rechte zum Erstellen und Bearbeiten nur einer Untergruppe von Webmin-Benutzern zu geben und ihnen Zugriff auf nur wenige Module zu gewähren. Um diese Art von Zugriff einzurichten, gehen Sie wie folgt vor:

  1. Klicken Sie im Webmin-Benutzermodul neben dem Namen des Subadministrators, den Sie einschränken möchten, auf Webmin-Benutzer.
  2. Ändern Kann Modulkonfiguration bearbeiten? auf Nein .
  3. Legen Sie die bearbeitbaren Benutzer fest Option für Ausgewählte Benutzer , und wählen Sie die Konten aus, die der Subadministrator bearbeiten können soll.
  4. Ändern Sie die Option Kann Zugriff gewähren auf Feld zu einem der Ausgewählten Module , und wählen Sie aus der Liste darunter die Module aus, die der Administrator neuen oder bearbeiteten Benutzern gewähren darf. Es macht wenig Sinn, Module zu wählen, auf die der Sub-Admin nicht ohnehin zugreifen kann.
  5. Ändern Kann Benutzer umbenennen? , Kann die Modulzugriffssteuerung bearbeiten? , Kann ein Zertifikat anfordern? , Kann die Benutzersynchronisierung konfiguriert werden? , Kann die Unix-Authentifizierung konfiguriert werden? , Können Anmeldesitzungen angezeigt und abgebrochen werden? Und Kann Gruppen bearbeiten? Auf Nein . Alle anderen Ja/Nein-Felder können auf Ja gesetzt werden .
  6. Ändern Sie die Neu erstellte Benutzer erhalten Feld auf *Gleiche Modulzugriffskontrolle wie Ersteller*. Da der Sub-Administrator die Zugriffskontrolleinstellungen von Modulen, die er anderen Benutzern gewährt, nicht bearbeiten darf, erhalten diese immer die gleichen Einstellungen wie er.
  7. Um zu erzwingen, dass alle neuen und bearbeiteten Benutzer Mitglieder einer einzelnen Gruppe sind, ändern Sie die Option Kann Benutzer Gruppen zuweisen Feld auf Ausgewählt und wählen Sie die Gruppe aus der Liste unten aus. Oder um zu verhindern, dass der Sub-Administrator eine Gruppe auswählt, wählen Sie Möglichkeit. Es kann für Sie sinnvoll sein, das Anlegen von Benutzern zuzulassen, die Mitglieder einer Gruppe sein müssen, die mit den entsprechenden eingeschränkten Modulen und Berechtigungen eingerichtet wurde. In diesem Fall sollten Sie in Schritt 4 überhaupt keine Module aus der Liste auswählen, damit nur die aus der Gruppe angelegten Benutzern zur Verfügung stehen.
  8. Klicken Sie auf Speichern Schaltfläche, um zur Hauptseite des Moduls zurückzukehren.
  9. Wenn Sie nicht alle neuen Benutzer dazu zwingen, Mitglied einer bestimmten Gruppe zu sein, vergewissern Sie sich, dass die Zugriffssteuerungseinstellungen in anderen Modulen für den Sub-Administrator korrekt festgelegt wurden. Sie werden von allen neuen Benutzern übernommen, die er erstellt.

Die Zugriffssteuerungseinstellungen für Webmin-Benutzer können auch so konfiguriert werden, dass ein Benutzer einige seiner eigenen Einstellungen ändern, aber andere Benutzer nicht bearbeiten oder sich selbst zusätzliche Berechtigungen erteilen kann. Gehen Sie wie folgt vor, um dies einzurichten:

  1. Klicken Sie auf Webmin-Benutzer neben dem Namen des Benutzers oder der Gruppe, dem Sie die Rechte zum Bearbeiten selbst erteilen möchten. Natürlich muss dem Benutzer bereits der Zugriff auf das Modul gewährt worden sein.
  2. Ändern Kann Modulkonfiguration bearbeiten? auf Nein .
  3. Legen Sie die bearbeitbaren Benutzer fest Option zu Dieser Benutzer .
  4. Stellen Sie Kann Zugriff gewähren auf ein Feld zu Ausgewählte Module , aber wählen Sie keine aus der Liste unten aus. Dadurch wird verhindert, dass sich der Benutzer einen zusätzlichen Modulzugriff verschafft.
  5. Ändern Kann Zertifikat anfordern? , Kann die Sprache geändert werden? , Kann die Kategorisierung geändert werden? und Kann persönliches Thema ändern? auf Ja , und alle anderen Ja/Nein-Felder auf Nein .
  6. Ändern Darf Gruppen bearbeiten? auf Nein , und setzen Sie *Kann Benutzer Gruppen zuweisen?* auf Ausgewählt aber wählen Sie keine aus der Liste aus.
  7. Klicken Sie abschließend auf Speichern . Der Webmin-Benutzer kann nun das Modul verwenden, um nur sein eigenes Passwort, seine Sprache, sein Design und seinen Kategorisierungsmodus zu ändern und ein clientseitiges SSL-Zertifikat anzufordern.

Konfigurieren des Webmin-Benutzermoduls

Das Webmin-Benutzermodul verfügt über mehrere Optionen, die durch Klicken auf Modulkonfiguration konfiguriert werden können Link auf der Hauptseite. Die bearbeitbaren Felder und ihre Bedeutung sind:


Webmin

  1. Verwalten Sie Linux-Benutzer und Linux-Gruppen

  2. Steuerung des Zugriffs auf rootless Podman für Benutzer

  3. Benutzer in Linux auflisten - Beste Methode

  4. Virtualbox nur bestimmten Benutzern Zugriff gewähren?

  5. Gewusst wie:FreeBSD-Benutzerverwaltung

So verwalten Sie Benutzer in Plesk

So listen Sie Linux-Benutzer auf Ubuntu auf

So listen Sie Benutzer unter Linux auf

So beschränken Sie den SSH-Zugriff auf bestimmte Benutzer in Linux

Zusätzliche SSH-Benutzer

So verwenden Sie den Benutzermanager von cPanel