Mac OS X 10.5快速系統部署實踐-製作核心系統鏡像(2) v1

文章目錄

• 本地管理員

Mac OS X 10.5 Fast System Deployment Practice

Mac OS X 10.5快速系統部署實踐

註：
前一篇在這裡: Mac OS X 10.5快速系統部署實踐-製作核心系統鏡像(2) v1

 

本地管理員

    在企業中，為了方便系統管理使用者，每個使用者都有為了完成工作而設定的各自許可權。為了管理每台電腦，管理員必需要有足夠的權利管理該電腦系統，所以一個具有足夠高許可權的本地系統管理員帳戶就是必不可少的了。

    大家都知道，Mac OS X是基於BSD的類Unix系統的，它的核心是Darwin,
是Apple早在1989年發布的，它主要從FreeBSD, NEXTSTEP等系統發展過來的，它符合
SUSv3和POSIX UNIX規範，從10.6版本開始全面升級到64位編碼。在Mac裡面，系統管理員一般情況下不需要使用root使用者來管理系統，而一個具有管理員權限的帳戶就可以完成絕大多數的系統管理工作。所以，我們第一步要做的就是建立一個系統管理員帳戶。

    其實，通過安裝盤安裝MAc OS X系統的時候，系統會提示使用者產生第一個使用者帳戶，其實這個帳戶就是一個系統管理員帳戶，使用這個帳戶作為企業本地系統管理員帳戶就可以，如果這樣請跳過本小節仔細閱讀下一小節的內容。

    使用圖形介面產生一個系統管理員帳戶也是最簡單的，下面同樣只給出一個螢幕。

 

使用shell命令

    完全可以用shell命令來完成管理員的帳戶建立:

sudo -s echo "Creating System Admin Account..." dscl . -create /Users/sysadmin dscl . -create /Users/sysadmin UserShell /bin/bash dscl . -create /Users/sysadmin RealName "System Admin" dscl . -create /Users/sysadmin UniqueID 501 dscl . -create /Users/sysadmin PrimaryGroupID 80 dscl . -create /Users/sysadmin NFSHomeDirectory /Users/sysadmin dscl . -passwd /Users/sysadmin "sadigowre4t0au4" dscl . -append /Groups/admin GroupMembership sysadmin   cp -R /System/Library/User/ Template/English.lproj /Users/zhangsan chown -R sysadmin /Users/sysadmin

    上面的bash指令碼建立了真實姓名是"System Admin"，Unix使用者名稱是sysadmin的，Unix唯一ID是501的，具有管理員權限(加入到adminAdministrator 群組)的本地帳戶。大家可以對比看出普通使用者和系統管理員帳戶的區別。

root使用者    root在UNIX世界裡是特殊的使用者，它是電腦的God, 它可以做任何事情，而管理員身份的使用者可以通過各種方式實現root使用者的功能，一般情況下不會用到root, 所以Mac預設是禁止root使用者的。如果管理需要可以開啟root帳戶.     在圖形方式裡，不同版本的Mac OS X，使用的工具有點不同，
詳細的操作可以參見Apple的官方文檔: 在 Mac OS X 中啟用和使用 root 使用者
     使用命令列：

sudo passwd root

    之後輸入root使用者密碼，並確認一次。

    當然，我們還可以使用下面的命令列來開啟和禁止root使用者(
對於10.5的Leopard系統測試通過，之前的系統沒有測試
)

# enable root user account / usr / sbin / dsenableroot -u adminusername -p adminuserpassword -r rootpassword

   
其中 -u後面的adminusername是一個具有管理員身份的賬戶，後面的-p
adminuserpassword是該賬戶的密碼，後面就是-r
rootpassword就是被重新設定的root使用者的密碼。注意，在設定密碼的時候有些特殊字元需要轉義。

系統管理員帳戶安全和隱藏

    為了保護系統管理員帳戶的安全，該帳戶應使用適當強度的密碼，這一點自不必多說；只有工作內容需要知道的人才可以知道，並教育員工確立對帳戶和密碼的保護和正確使用意識，以及密碼的儲存形式等的管理都是保證這個密碼長期有效保障。

 

    為了系統更安全，系統管理員帳戶名稱最好對普通使用者隱藏，首先普通使用者沒有必要知道有這麼一個帳戶，同時也給系統破解帶來障礙。

 

    這要從幾個層面來考慮，首先是管理員的home目錄需要隱藏，其次, 在系統偏好->裡面不顯示系統管理員帳戶名, 再有就是在登陸列表中也不能顯示。     首先，需要找到一個小於500的空餘UID號，也就是一個沒有其他本地用
戶(系統或者使用者)使用的UID號。Mac OS
X預設的是：對於所有電腦使用者產生的使用者帳號，都是大於500的，而小於500的是留給系統本身使用的，作業系統為了能夠正常運行，需要一些帳號，比如
web服務的帳號_www, root等等。而這些小於500的UID帳號是預設不在圖形介面系統中自動顯示的。
    使用圖形介面可以尋找不同使用者的UID號碼, 如的User ID:

    使用下面的命令可以列出所有當前系統使用者佔用的UID:

dscl . list /Users UniqueID

    其次，變更管理員帳戶Home目錄的路徑，這一點可以使用圖形方式解決, 中的Home Directory就是使用者的Home目錄設定，你可以改變它，這樣以後該使用者登陸後，就會使用這個設定.

或者是命令列方式, 如下面的命令:

dscl . -create /Users/sysadmin NFSHomeDirectory /Users/sysadmin

    或者可以使用隱藏目錄的命令如SetFile,來設定目錄的擴充屬性，使其對於圖形介面Finder等隱藏。這種方式也是可以接受的，但是相比把home目錄移動的方法，個人認為還是移動Home的方法更隱蔽。

sudo setfile -a V /Users/sysadmin

上面的命令就在Finder裡面隱藏了sysadmin系統管理員帳戶的Home目錄。     然後，設定LoginWindow不顯示特定的帳戶。這一點可以藉助其它軟體來實現，而更方便的是使用命令列. 例如，使用Cocktail軟體就可以隱藏系統管理員帳戶在登陸視窗的顯示, 如.

    使用命令列的方式，例如下面的命令列隱藏了sysadmin:

sudo defaults write /Library/Preferences/com.apple.loginwindow HiddenUsersList -array-add sysadmin

 

    最後，測試:
    一定要測試，測試的結果可能是一種方法不能解決，可能需要另外一種或者多種方法組合才能解決問題。
     還有一種方法，也可以做到隱藏的作用，但是有點複雜。原理就是，類UNIX系統使用外掛程式的方式以支援現代認證域的概念，這樣它具有可以擴充的特性，我們就要利用這個特性來添加一個本地認證域到使用者認證系統中，這個方法有它自己的優勢。這裡不多贅述。

 

遠端管理服務    為了方便遠端管理，我們一般需要在用戶端開啟必要的管理服務，並確認在這些管理服務中，遠端管理員帳戶/使用者組被授權足夠許可權，一般是所有許可權。當然，為了管理分級/分層的需要，有的可以是“Read-Only”許可權等。
    具體設定在, System Preferences->Sharing, 選中 x和x  的兩個選項，並且選擇添加使用者，賦予足夠的許可權。

    對於Remote Management還需要具體設定管理員的具體許可權，我這裡選種了所有的許可權。對於不同企業的來說很可能會不一樣。

  
 一般來說，要開啟Remote Login和Remote
Management兩個選項，這樣管理員即可以使用ssh的命令列方式管理客戶機，也可以使用Apple Remote
Desktop的圖形方式來管理.
這兩種方式都給管理員以方便遠端管理。當然了，一定要注意企業內部的安全管理規定，有的情況或者並不是對所有人都適合這樣的設定。

    使用命令列也可以達到添加管理使用者為遠端管理服務的認可許可權。
主密碼和FileVault    主密碼(Master password)可以用於很多地方，比如，可以不用登陸就重設使用者密碼，而且用於FileVault
，當使用者忘記自己的FileVault密碼的時候，管理員可以使用主密碼恢複使用者的FileVault資料, 所以這個主密碼很重要，而且應該是全企業統一，各版本統一，即便是需要變更也要保留完整的變更曆史。即便企業目前沒有計劃使用這個功能，也建議設定這個主密碼。     官方目前沒有中文的說明，英文的在這裡：Creating a master password
    其實很簡單，進入System Preferences的Security的Safe標籤，點擊Set Master Password，輸入密碼。如果該項被鎖住了，請先開鎖。     如果忘記/找不到主密碼，可以刪除主密碼檔案，然後再設定一個新的，但是如果有使用FileVault的使用者，他們加密資料只有使用原來的主密碼才可以解密，新主密碼只有在使用者資料解密後重新加密，主密碼才起作用。     主密碼相關檔案儲存在KeyChain檔案裡面：/Library/Keychains/FileVaultMaster.keychain和
/Library/Keychains/FileVaultMaster.cer。只要刪除他們，就可以重設主密碼了。所以為了安全起見，一定要檢查這兩個檔案的許可權屬性，一定要適當。

登陸視窗背景

    這是一個關乎外觀而無關功能的小技巧，這裡只是提醒一下，也就是把預設的LoginWindow的背景畫面變更為帶有公司宣傳或者
簡單敘述
公司使用規章的背景。

    首先製作一張公司背景圖，應該是JPG格式的，大小，存放在任何一個地方，但是最好給所有人唯讀許可權，比如說，儲存位置在/System/Library/CoreServices/CompanyLogin.jpg

    然後使用下面的語句變更背景

sudo defaults write /Library/Preferences/com.apple.loginwindow DesktopPicture /System/Library/CoreServices/CompanyLogin.jpg

    退出登入後察看是否起作用，否則請檢查該圖形檔案的屬性。

常用工具   

    有好多系統管理工具，這裡不可能完全涵蓋，只是列出一部分使用最多的。如果誰有好的建議，我們歡迎積極提出反饋。

    Cocktail
    Onyx

 

 

續：Mac OS X 10.5快速系統部署實踐-製作核心系統鏡像(3) v1

 

 

Tony Liu

2009 Calgary