За вход пользователя в систему отвечает процесс login window, а обслуживанием информации об учетных записях занимается фоновый процесс Open Directory. Процесс Open Directory хранит информацию об учетных записях пользователей в наборе XML-файлов, которые располагаются в папке /var/db/dslocal/nodes/Default/users. Эта папка доступна для чтения только учетной записи System Administrator (root). Файлы организованы как списки атрибутов пользователей и соответствующих значений.
Каждый пользователь имеет множество атрибутов, определяющих детали его учетной записи. К этим атрибутам можно также обращаться из панели настроек Пользователи и группы (Users & Groups).
· Полное имя (Full Name) – полное имя пользователя. Оно может быть достаточно длинным и содержать практически любые символы и должно быть уникальным в системе. Вы можете легко изменить полное имя в любой момент позднее.
· Псевдонимы (Alias names) - используются для связывания учетной записи локального пользователя с учетными записями других служб. Например, с локальной учетной записью можно связать идентификатор Apple ID пользователя. Этот атрибут в OS X является опциональным, но он требуется для интеграции с такими интернет-сервисами компании Apple, как iCloud и Back to My Mac.
· Учетная запись (Account Name), иногда ее называют «короткое имя». Это имя применяется для уникальной идентификации учетной записи и по умолчанию является именем домашней папки пользователя. Пользователь при входе в систему может использовать как полное имя, так и имя учетной записи. Однако каждая учетная запись должна иметь свое уникальное имя; оно не может содержать никакие специальные символы или пробелы. Разрешается использовать тире, символы подчеркивания и точки.
· Идентификатор пользователя (User ID) - числовой атрибут, используемый для отождествления учетной записи с владением файлами и папками. Это число практически всегда уникально. Идентификаторы учетных записей пользователей начинаются с 501, а большинство идентификаторов системных учетных записей находятся ниже 100.
· Универсальный уникальный идентификатор (Universally Unique ID(UUID)), иногда также называемый «Generated UID» (GUID). GUID –буквенно-цифровой атрибут генерируется компьютером в процессе создания учетной записи и является уникальным. UUID используется для ссылки на пароль пользователя, для членства в группах и разрешений файлов. Локально созданные UUID-идентификаторы не могут использоваться между компьютерами Mac для взаимной идентификации.
· Группа (Group) - это основная группа пользователя. По умолчанию основной группой для всех локальных пользователей является группа stuff. Когда пользователь создает новый файл, файл принадлежит учетной записи этого пользователя и группе staff.
· Оболочка входа (Login Shell) - этот путь указывает на оболочку командной строки (command-line shell), используемую в программе Терминал (Terminal). Для каждого пользователя, которому разрешено использовать командную строку, данный атрибут по умолчанию устанавливается в значение /bin/bash. По умолчанию и администраторам, и стандартным пользователям разрешен доступ к командной строке.
· Папка пользователя (Home Directory) - путь, который определяет расположение домашней папки пользователя. Для всех пользователей, за исключением пользователей только для общего доступа, не имеющих домашних папок, используется значение /Пользователи/<пате>, где <пате> - это имя учетной записи.
4.2 Родительский контроль
Система OS X включает обширный набор управляемых настроек, которые позволяют еще строже регламентировать возможности пользователей. Они создавались как средства родительского контроля, но также применимы на предприятии и в офисе. Так как средства родительского контроля созданы для дополнительного ограничения учетных записей стандартных пользователей, они не могут применяться к администратору.
Дополнительная информация. Родительский контроль - это ограниченное подмножество гораздо большей системы управления учетными записями, доступной при использовании OS X Server.
Перечисленные ниже возможности управления доступны через средства родительского контроля.
· Включите Simple Finder. Он выводит в Finder только те объекты, которые нужны для управляемого пользователя.
· Создайте список, который определяет, какие приложения или виджеты разрешено открывать пользователю. Вы также можете ограничить программы, доступные из Mac App Store на основе рекомендаций по минимальному возрасту.
· Включите автоматическую фильтрацию содержимого сайтов Safari, вручную управляйте списком разрешенных сайтов или же используйте оба этих метода.
· Ограничьте программы Game Center, Mail и Сообщения (Messages), разрешив обмен только с одобренными адресами.
· Ограничьте время работы на компьютере в рабочие дни и в выходные.
· Защитите пользователя от ненормативной лексики во встроенном словаре Dictionary.
· Ограничьте доступ к службам диктовки, принтерам, функции изменения пароля, оптическому носителю и Dock.
· Применяйте журналы Safari, Сообщений (Messages) и других приложений. В данных журналах фиксируются как успешные, так и неудачные попытки доступа.
Примечание. Большинство приложений независимых поставщиков не будут поддерживать фильтры содержимого средств родительского контроля и настройки ограничений учетных записей. Примеры неподдерживаемых приложений включают браузер Firefox и почтовый клиент Outlook. Эти приложения, тем не менее, легко запрещаются с помощью ранее упомянутого списка ограничения приложений родительского контроля.
4.3 Вход в систему и быстрое переключение пользователей
Окно входа в систему может выглядеть достаточно просто, но оно является парадной дверью в систему и обладает множеством средств безопасности, с которыми должен быть знаком администратор. В основном, данные средства обеспечивают либо более высокую безопасность, либо большую доступность. Кроме того, благодаря функции быстрого переключения между пользователями OS X позволяет нескольким пользователям находиться в системе одновременно. Однако с этой функцией возникают проблемы, когда несколько пользователей пытаются одновременно обращаться к одним ресурсам.
Параметры входа в систему
Поведение окна входа в систему можно настроить из окна настроек Пользователи и группы (Users & Groups), введя учетные данные администратора и щелкнув на кнопке Параметры входа (Login Options) внизу списка учетных записей пользователей.
Ниже перечислены опции окна входа в систему.
· Включение и выключение автоматического входа в систему при запуске компьютера Мас. Эта опция в OS X выключена по умолчанию. Очевидно, что можно определить только одну учетную запись для автоматического входа в систему.
· Отображение в окне входа в систему списка имеющихся пользователей (Настройка по умолчанию) или же пустых полей имени и пароля. Второй вариант обеспечивает большую безопасность.
· Определение доступности кнопок Перезагрузить (Restart), Режим сна (Sleep) и Выключить (Shut Down) в окне входа в систему. Системы Мас в рабочих средах, требующих безопасности, не выводят эти кнопки в окне регистрации.
· Использование меню ввода. Это меню позволяет пользователям легко вводить нелатинские знаки в окне входа в систему.
· Отображение в окне входа в систему подсказки к паролям после трех неудачных попыток ввода пароля или ее отсутствие. Это может показаться небезопасным выбором, однако помните, что подсказки пароля являются необязательными для учетной записи пользователя.
· Отключение быстрого переключения пользователей и соответствующего меню.
· Разрешение пользователям использовать технологию звуковой помощи VoiceOver в окне входа в систему.
· Настройка компьютера на использование учетных записей, которые хранятся в общем сетевом каталоге.
Быстрое переключение пользователей
Легко представить ситуацию, когда двум пользователям понадобится использовать компьютер в одно и то же время. Хотя одновременно использование ими графического интерфейса компьютера Мас невозможно, однако допускается, чтобы несколько пользователей оставались в системе одновременно. Быстрое переключение пользователей позволяет оперативно переходить между их учетными записями без выхода из системы или закрытия открытых приложений. Это позволяет сохранять свою работу открытой в фоновом режиме, пока другие пользователи входят в систему. Пользователь может позже мгновенно вернуться к своей учетной записи там, где она была оставлена.
Примечание. Быстрое переключение пользователей не поддерживается для сетевых учетных записей
Функция быстрого переключения пользователей в OS X включена по умолчанию. Пункт меню быстрого переключения пользователей находится с самого правого края строки меню, рядом с меню поиска Spotlight. По умолчанию это меню будет отображаться как полное имя вашей учетной записи пользователя. Если этого пункта в строке меню нет, нужно включить функцию быстрого переключения пользователей на странице Параметры входа (Login Options) панели настроек Пользователи и группы (Users & Groups). Чтобы инициировать переключение к другому пользователю, нужно просто выбрать его имя в меню быстрого переключения пользователей и ввести его пароль.
Совет. Можно переместить пункт меню функции быстрого переключения пользователей или любой другой пункт на правой стороне строки меню, перетаскивая пункт при нажатой клавише [ Command ].
Проблемы быстрого переключения пользователей
Компания Apple сделала быстрое переключение пользователей достаточно надежным средством. Многие встроенные приложения OS X понимают его. Например, при переключении между учетными записями программа iTunes будет автоматически заглушать или включать музыку, программа Сообщения (Messages) будет переключаться между статусами чата «доступный» и «отсутствую», а программа Mail будет продолжать проверять поступление новых сообщений в фоновом режиме. Однако возможна конкуренции за ресурсы, когда несколько пользователей пытаются получить доступ к одному объекту.
Примеры конкуренции за ресурсы при быстром переключении пользователей.
· Конкуренция за приложение. Некоторые приложения спроектированы так, что в данный момент времени его может использовать только один пользователь. Если другие пользователи попытаются открыть эти приложения, им выдается либо диалоговое окно ошибки, либо приложение просто не открывается. Большинство приложений, попадающих в эту категорию, являются профессиональными и обычно требуют много ресурсов, поэтому лучше всего иметь только одну их копию, выполняющуюся в данный момент времени.
· Конкуренция за документ. Один пользователь уже открыл документ и остается зарегистрированным во время быстрого переключения пользователей, не позволяя другим пользователям получить полный доступ к этому документу. Например, Microsoft Office позволит другим пользователям открыть документ в режиме «только для чтения» и будет выводить диалоговое окно об ошибке, если пользователь попытается сохранить изменения. В более экстремальных ситуациях некоторые приложения вообще не позволят другим пользователям открыть документ. В наихудшем варианте приложение позволит двум пользователям одновременно изменять файл, но сохранит только те изменения, которые были сделаны пользователем, сохранившим документ последним. В данном случае разработчики приложения не приняли во внимание возможность того, что два пользователя могут одновременно редактировать один и тот же документ, поэтому вы даже не увидите сообщения об ошибке
· Конкуренция за периферийные устройства. Многие периферийные устройства в данный момент времени могут быть доступны только одному пользователю. Это становится проблемой при быстром переключении пользователей, когда пользователь оставляет выполняющееся приложение, которое соединено с периферийным устройством. Периферийное устройство будет недоступно другим приложениям, пока не закончит работу ранее запущенное приложение. Это относится к видеокамерам, сканерам и звуковому оборудованию.
Проблемы быстрого переключения пользователей, связанных с хранением данных
Быстрое переключение пользователей также имеет интересные последствия для несистемных томов. Например, если пользователь подключит внешний накопитель, то этот том будет доступен другим пользователям, даже если они вошли в систему, после того как накопитель был подключен. Смонтированные тома образов диска обрабатываются несколько более безопасно. Только тот пользователь, который смонтировал образ диска, будет иметь к нему полный доступ на чтение/запись. Однако другие пользователи все равно будут иметь доступ на чтение к тому смонтированного образа диска.
Сетевые общие папки являются единственными томами, которые остаются защищенными в среде быстрого переключения пользователей. По умолчанию только пользователь, который подключился к общей папке, имеет к ней доступ. Даже когда несколько пользователей пытаются получить доступ к одной сетевой общей папке, система будет автоматически создавать несколько точек монтирования с разным доступом для каждого пользователя. Исключением из данного правила являются сетевые домашние папки, используемые сетевыми учетными записями. Только один сетевой пользователь может успешно войти в систему, а другие сетевые пользователи с того же сервера не смогут получить доступ к своим сетевым домашним папкам. По этой причине быстрое переключение пользователей не поддерживает сетевые учетные записи
Решение проблем быстрого переключения пользователей
К сожалению, каждый ресурс и приложение могут действовать по-разному, поэтому проблемы быстрого переключения пользователей не всегда согласованно описываются или сразу заметны. В системе OS X нет диалогового окна «система быстрого переключения пользователей вызвала проблему». Тем не менее, если вы сталкиваетесь с ошибками доступа к файлам или периферийным устройствам, то прежде всего проверьте, нет ли в системе других пользователей. Если есть, то они должны выйти из системы, а вы - вновь попытаться получить доступ к недоступным ранее объектам.
Если другие пользователи не могут выйти из системы, например, они в данное время недоступны, а вы не знаете их паролей, остается принудительно заставить подозрительные приложения других пользователей завершиться или директивно вывести их из системы, перезапустив Мас. Изменение пароля вошедшего в систему пользователя не поможет, так как администраторы не могут управлять учетными записями пользователей, которые в данный момент находятся в системе. Эти учетные записи в панели настроек Пользователи и группы (Users & Groups) будут серыми и недоступными.
В этом случае администратор должен принудительно закрыть приложения других пользователей или перезапустить компьютер, чтобы освободить объекты конкуренции или сделать изменения в учетных записях находящихся в системе пользователей. Ни один из подходов не является идеальным, так как принудительное закрытие приложения с открытыми файлами часто приводит к потере данных.
Совет. Если главный пароль (master password) уже был задан, то можно заново установить пароль находящегося в системе пользователя из окна входа в систему с помощью основного пароля.
Попытка перезапуска вскрывает еще одну проблему быстрого переключения пользователей: если какие-то пользователи все еще находятся в системе, администратор должен принудительно закрыть открытые приложения этих пользователей, чтобы перезапустить систему. Система облегчает администратору принудительное закрытие приложений других пользователей через диалоговое окно перезапуска с проверкой подлинности, но и в этом случае весьма вероятна потеря данных в любых открытых файлах.
Рекомендуемая литература: 1[163-191]
Контрольные вопросы к теме: “ Учетные записи пользователей»
1. Какие пять типов учетных записей пользователей имеются в OS X? Чем они различаются?
2. Что такое атрибуты учетной записи?
3. Назначение родительского контроля.
4. Опции окна входа в систему.
5. Проблемы быстрого переключения пользователей.
