Introduction
Este documento descreve como criar, configurar e atualizar usuários (administração do usuário) no Quantum Policy Suite (QPS). Isso é mais específico para o QPS Versão 5.5 e posterior. O gerenciamento de usuário é descrito para estas três seções no QPS:
- Gerenciamento de usuários para VM QPS (todas as VMs; como PCRFClient0x, Lb0x e QNS0x )
- Gerenciamento de usuários para o Control Center
- Gerenciamento de usuário para o repositório do Policy Builder (PB-Subversion [PB-SVN])
Note: O QPS foi renomeado para Cisco Policy Suite (CPS) na versão 8.0.0.
Gerenciamento de usuário para QPS VM
Esta seção explica o gerenciamento de usuários em QPS VM (LB, PCRFClient, QNS etc.).
Criar um novo usuário local com um grupo padrão
Por padrão, uma adição de usuário local cria o nome do grupo igual ao nome do usuário. A adição de grupo não é obrigatória.
- Insira o comando useradd -m -d /home/<id do usuário> -c "Usuário Local" <id do usuário> para criar a id do usuário. Neste exemplo, é 'aravibal'.

- Insira o comando passwd <user id> para definir a senha para o usuário recém-criado.

- Conceder acesso ao usuário local recém-criado. Edite o arquivo /etc/security/access.conf e adicione esta linha:
"+:<User ID>:ALL
- Edite o arquivo /etc/ssh/sshd_config e adicione o novo usuário ao final da linha 'AllowUsers'.

- Insira o comando service sshd restart para reiniciar o serviço Secure Shell Daemon (SSHD).

- Efetue login como o novo usuário e insira o comando ssh localhost -l <recém-criado_user id> para exibir a id do usuário e o nome do grupo.

Criar um novo usuário local com um novo grupo
- Insira o comando groupadd <groupname> para criar um novo grupo.

- Insira o comando cat /etc/group para verificar sua ID de grupo recém-criada no arquivo /etc/group.

- Insira o comando useradd -m -d /home/<id do usuário> -c "Usuário local" <id do usuário> -g<novo nome de grupo> para criar o novo usuário local com o novo grupo.

- Conclua as etapas de 3 a 6 na seção Criar um novo usuário local com um grupo padrão.
Modificar a conta de usuário
Conclua esta seção para modificar as configurações de envelhecimento de senha, bloqueio, desbloqueio e expiração da conta.
Insira o comando chage -l <user id> para verificar a idade de expiração da senha.

O administrador do sistema pode concluir estas ações conforme necessário:
- Insira o comando change -M <number of days > <user id> para definir a data de expiração da senha para qualquer usuário.
O número de dias é calculado a partir da data atual do sistema. Por exemplo, se desejar definir a expiração da senha após 25 dias, insira chage -M 25 <user ID>. A opção -M atualiza a senha e o número máximo de dias entre a alteração de senha.

- Insira o comando chage -E "AAAA-MM-DD" <id do usuário> para definir a data de vencimento da conta para qualquer usuário. A data deve ser indicada no formato "AAAA-MM-DD".

- Insira o comando chage -m 0 -M 9999 -I -1 -E -1 <user id> para desabilitar o envelhecimento da senha.
- -m 0 define o número mínimo de dias entre a alteração de senha para 0
- -M 99999 define o número máximo de dias entre as alterações de senha para 99999
- -I -1 (número menos um) define a 'Senha inativa' como nunca
- -E -1 (número menos um) define 'Conta expira' como nunca

- Insira um dos seguintes comandos para bloquear ou desbloquear um usuário:
- bloquear o usuário - passwd -l <user id>
- desbloquear o usuário - passwd -u <user id>
- Insira o comando passwd -S <user id> para verificar se o status da conta está bloqueado.
Essa saída consiste em sete campos, o segundo campo indica se a conta de usuário tem uma senha bloqueada (L), não tem senha (NP) ou tem uma senha utilizável (P).
Note: Na versão 5.5, a opção -S funciona, mas somente com um usuário por vez. Você precisará verificar se a opção -a está disponível na versão 6.0. Por exemplo, insira o comando passwd -Sa.

- Insira o comando passwd <user ID> para redefinir as senhas de todas as IDs de usuário, inclusive do usuário administrador. Por exemplo, passwd broadcast1.
- Insira o comando faillog -a para verificar as tentativas de login com falha para todos os usuários.

- Insira o comando userdel <user id> para excluir o usuário. O comando userdel -r <user ID> remove o diretório inicial do usuário. Por exemplo, userdel -r aravibal.
Gerenciamento de usuários para o Control Center
O Control Center (CC) não está disponível em versões anteriores do QPS, ou seja, CC não está disponível no QPS versão 2.5.7. A GUI do CC está disponível somente no QPS versão 5.3 e posterior.
Edite este arquivo XML em PCRFClient01, '/etc/broadhop/authentication-provider.xml', para adicionar uma nova id de usuário ou alterar a senha em CC. Há duas autoridades para CC, somente leitura e administração.
<user name="userid" password="password" authorities="ROLE_READONLY"/>
<user name="userid" password="password" authorities="ROLE_SUMADMIN"/>
Remova a linha apropriada deste arquivo XML para excluir um usuário.

Gerenciamento de usuário do Policy Builder
Esta seção explica a administração do usuário no PB.
Criar um usuário
- Insira o comando htpasswd -b /var/www/svn/password <username> <password> no pcrfclient01 para adicionar um usuário SVN.
Note: Em alguns casos, o arquivo de senha está oculto como .htpasswd. Talvez seja necessário inserir htpasswd -b /var/www/svn/.htpasswd <username> <password>.

- Edite os administradores de linha = broadcast, <username> no /var/www/svn/users-access-file file para fornecer acesso de leitura/gravação ao usuário.

Modificar um usuário
- Insira o comando htpasswd /var/www/svn/password <username> para redefinir a senha de um usuário atual no PB (repositório SVN). Por exemplo, htpasswd /var/www/svn/password broadhop2.
Note: Em alguns casos, o arquivo de senha está oculto como .htpasswd. Talvez seja necessário inserir htpasswd -b /var/www/svn/.htpasswd <username> <password>.

- Insira o comando htpasswd -D password <user id> para excluir usuários no PB (repositório PB-SVN). Por exemplo, htpasswd -D password broadhop1.

- Insira estes comandos para determinar qual usuário cometeu recentemente uma alteração no PB e quem são todos os usuários que cometeram alterações.
- #svn log http://pcrfclient01/repos/configuration/ | mais
- #svn log http://pcrfclient01/repos/configuration/ | grep '^r[0-9]' | awk '{print $3}' | classificação | uniq
Informações úteis
O usuário padrão do sistema 'qns' não tem uma senha.
Use 'pwck' e 'grpck' para verificar a integridade de /etc/passwd, /etc/shadow e /etc/group.
Vários usuários em PB estão disponíveis no QPS versão 6.0 e posterior. Em versões anteriores, o PB pode ter vários usuários para fazer login e fazer alterações, mas isso resulta em uma substituição.
Se quiser manter o tempo de sessão ociosa, insira o comando export TMOUT=120. (Os usuários serão desconectados se estiverem inativos por dois minutos= 120 segundos.)
Você pode fazer check-in no /var/log/httpd/access_log quando o usuário se conecta ao PB (repositório SVN).
Todas as falhas de autenticação de usuário relacionadas ao PB podem ser verificadas em /etc/httpd/logs/error_log.
Informações relacionadas a privilégios de autenticação e autorização podem ser encontradas em /var/log/secure. Por exemplo, o SSHD registra todas as mensagens que incluem logins malsucedidos.