usermod - modifier un compte utilisateur
SYNTAXE
usermod [options] LOGIN
DESCRIPTION
La commande usermod modifie les fichiers de compte système.
OPTIONS
Les options qui s'appliquent à la commande usermod sont les suivantes :
-a, --append
Ajouter l’utilisateur aux groupes secondaires. À utiliser uniquement avec l’option -G.
-b, --badname
Autoriser les noms qui ne sont pas conformes aux normes.
-c, --comment COMMENT
met à jour le champ de commentaire de l’utilisateur dans /etc/passwd, ce qui se fait normalement à l’aide de l’utilitaire chfn(1).
-d, --home HOME_DIR
Le nouveau répertoire de connexion de l’utilisateur.
Si l’option -m est spécifiée, le contenu du répertoire personnel actuel sera déplacé vers le nouveau répertoire personnel, qui sera créé s’il n’existe pas déjà. Si le répertoire personnel actuel n’existe pas, le nouveau répertoire personnel ne sera pas créé.
-e, --expiredate EXPIRE_DATE
Spécifie la date à laquelle le compte utilisateur sera désactivé. La valeur peut être spécifiée sous forme de date au format AAAA-MM-JJ ou sous forme de nombre de jours depuis 1970-01-01. La date est interprétée en utilisant le fuseau horaire UTC.
Une entrée de -1 ou une chaîne vide efface le champ d’expiration du compte dans le fichier de mots de passe shadow. Le compte restera disponible sans date d’expiration.
Cette option nécessite le fichier /etc/shadow. Si aucune entrée n’existe dans le fichier /etc/shadow, le système en créera automatiquement une.
-f, --inactive INACTIVE
Définit le nombre de jours après le dépassement de l’âge maximal du mot de passe pendant lesquels l’utilisateur peut toujours se connecter en modifiant immédiatement son mot de passe. Si l’utilisateur ne modifie pas son mot de passe dans cette période, son compte devient inactif. Cette valeur est stockée dans le fichier de mots de passe shadow.
Une valeur de 0 désactive le compte lorsque le mot de passe expire, sans délai.
Une valeur de -1 vide le champ correspondant dans le fichier de mots de passe shadow, ce qui signifie que la période d’inactivité n’est pas appliquée.
Cette option nécessite le fichier /etc/shadow. Si aucune entrée n’existe dans le fichier /etc/shadow, le système en créera automatiquement une.
-g, --gid GROUP
Le nom ou l’ID numérique du nouveau groupe principal de l’utilisateur. Le groupe doit exister.
Tout fichier du répertoire personnel de l’utilisateur appartenant à l’ancien groupe principal de l’utilisateur appartiendra à ce nouveau groupe.
La propriété du groupe des fichiers situés en dehors du répertoire personnel de l’utilisateur doit être corrigée manuellement.
Le changement de la propriété du groupe des fichiers à l’intérieur du répertoire personnel de l’utilisateur n’est pas non plus effectué si l’UID du propriétaire du répertoire personnel est différent de l’UID actuel ou du nouvel UID. Il s’agit d’une mesure de sécurité pour les répertoires personnels spéciaux tels que /.
-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]
Une liste de groupes secondaires dont l’utilisateur est également membre. Chaque groupe est séparé du suivant par une virgule, sans espace intermédiaire. Les groupes doivent exister.
Si l'utilisateur est actuellement membre d'un groupe qui ne figure pas dans la liste, l'utilisateur sera supprimé du groupe. Ce comportement peut être modifié à l'aide de l'option -a, qui ajoute l'utilisateur à la liste actuelle des groupes secondaires.
-l, --login NEW_LOGIN
Le nom de l'utilisateur sera modifié de LOGIN à NEW_LOGIN. Rien d'autre n'est modifié. En particulier, le répertoire personnel ou la file d'attente de courrier de l'utilisateur doivent probablement être renommés manuellement pour refléter le nouveau nom de connexion.
-L, --lock
Verrouille le mot de passe d'un utilisateur. Cela place un '!' devant le mot de passe chiffré, ce qui désactive effectivement le mot de passe. Vous ne pouvez pas utiliser cette option avec -p ou -U.
Remarque : si vous souhaitez verrouiller le compte (et pas seulement l'accès avec un mot de passe), vous devez également définir
la DATE_EXPIRATION sur 1.
-m, --move-home
déplace le contenu du répertoire personnel de l'utilisateur vers le nouvel emplacement. Si le répertoire personnel actuel n'existe pas, le nouveau répertoire personnel ne sera pas créé.
Cette option n'est valide qu'en combinaison avec l'option -d (ou --home).
usermod tentera d'adapter la propriété des fichiers et de copier les modes, les ACL et les attributs étendus, mais des modifications manuelles peuvent être nécessaires par la suite.
-o, --non-unique
permet de modifier l'ID utilisateur pour qu'il ait une valeur non unique.
Cette option n'est valide qu'en combinaison avec l'option -u. Étant donné qu'une identité d'utilisateur sert de clé pour établir un lien entre les utilisateurs d'un côté et les permissions, la propriété des fichiers et d'autres aspects qui déterminent le comportement du système de l'autre, plus d'un nom de connexion accédera au compte du UID donné.
-p, --password PASSWORD
définit un nouveau mot de passe pour l'utilisateur. PASSWORD doit être chiffré, comme renvoyé par crypt (3).
Remarque : évitez d'utiliser cette option dans la ligne de commande, car le mot de passe (ou le mot de passe chiffré) sera visible par les utilisateurs qui consultent les processus.
Le mot de passe sera écrit dans le fichier /etc/passwd ou /etc/shadow local. Cela peut différer de la base de données de mots de passe configurée dans votre configuration PAM.
Vous devez vous assurer que le mot de passe respecte la politique de mots de passe du système.
-r, --remove
Supprime l'utilisateur des groupes secondaires nommés. À utiliser uniquement avec l'option -G.
-R, --root CHROOT_DIR
Applique les modifications dans le répertoire CHROOT_DIR et utilise les fichiers de configuration du répertoire CHROOT_DIR. Seuls les chemins absolus sont pris en charge.
-P, --prefix PREFIX_DIR
Applique les modifications dans l'arborescence de répertoires commençant par PREFIX_DIR et utilise également les fichiers de configuration qui s'y trouvent. Cette option n'effectue pas de chroot et est destinée à préparer une cible de compilation croisée. Certaines limitations : les utilisateurs/groupes NIS et LDAP ne sont pas vérifiés. L'authentification PAM utilise les fichiers de l'hôte. Pas de prise en charge de SELINUX.
-s, --shell SHELL
modifie le shell de connexion de l'utilisateur. Une chaîne vide pour SHELL vide le champ dans /etc/passwd et connecte l'utilisateur au shell par défaut du système.
-u, --uid UID
La nouvelle valeur de l'ID de l'utilisateur.
Cette valeur doit être unique, sauf si l'option -o est utilisée. La valeur doit être non négative.
La boîte aux lettres de l'utilisateur, ainsi que tous les fichiers appartenant à l'utilisateur et situés dans le répertoire personnel de l'utilisateur, verront leur ID d'utilisateur modifié automatiquement.
La propriété des fichiers situés en dehors du répertoire personnel de l'utilisateur doit être corrigée manuellement.
La modification de la propriété des fichiers situés dans le répertoire personnel de l'utilisateur n'est pas effectuée si l'UID du propriétaire du répertoire personnel est différent de l'UID actuel ou du nouvel UID. Il s'agit d'une mesure de sécurité pour les répertoires personnels spéciaux tels que /.
Aucune vérification ne sera effectuée concernant UID\_MIN, UID\_MAX, SYS\_UID\_MIN ou SYS\_UID\_MAX provenant de /etc/login.defs.
-U, --unlock
Déverrouiller le mot de passe d'un utilisateur. Cela supprime le '!' devant le mot de passe chiffré. Vous ne pouvez pas utiliser cette option avec -p ou -L.
Remarque : si vous souhaitez déverrouiller le compte (et pas seulement permettre l'accès avec un mot de passe), vous devez également définir la DATE\_D'EXPIRATION (par exemple, sur 99999 ou sur la valeur EXPIRE de /etc/default/useradd).
-v, --add-subuids FIRST-LAST
Ajouter une plage d'UID secondaires au compte de l'utilisateur.
Cette option peut être spécifiée plusieurs fois pour ajouter plusieurs plages à un compte d'utilisateur.
Aucune vérification ne sera effectuée concernant SUB\_UID\_MIN, SUB\_UID\_MAX ou SUB\_UID\_COUNT provenant de /etc/login.defs.
-V, --del-subuids FIRST-LAST
Supprimer une plage d'UID secondaires du compte de l'utilisateur.
Cette option peut être spécifiée plusieurs fois pour supprimer plusieurs plages d'un compte d'utilisateur.
Lorsque les options --del-subuids et --add-subuids sont toutes deux spécifiées, la suppression de toutes les plages d'UID secondaires se produit avant l'ajout de toute plage d'UID secondaires.
Aucune vérification ne sera effectuée concernant SUB\_UID\_MIN, SUB\_UID\_MAX ou SUB\_UID\_COUNT provenant de /etc/login.defs.
-w, --add-subgids FIRST-LAST
Ajouter une plage de GID secondaires au compte de l'utilisateur.
Cette option peut être spécifiée plusieurs fois pour ajouter plusieurs plages à un compte d'utilisateur.
Aucune vérification ne sera effectuée concernant SUB\_GID\_MIN, SUB\_GID\_MAX ou SUB\_GID\_COUNT provenant de /etc/login.defs.
-W, --del-subgids FIRST-LAST
Supprimer une plage de GID secondaires du compte de l'utilisateur.
Cette option peut être spécifiée plusieurs fois pour supprimer plusieurs plages d'un compte d'utilisateur.
Lorsque les options --del-subgids et --add-subgids sont toutes deux spécifiées, la suppression de toutes les plages de GID secondaires se produit avant l'ajout de toute plage de GID secondaires.
Aucune vérification ne sera effectuée concernant SUB\_GID\_MIN, SUB\_GID\_MAX ou SUB\_GID\_COUNT provenant de /etc/login.defs.
-Z, --selinux-user SEUSER
définit l'utilisateur SELinux à mapper avec LOGIN. Une chaîne vide ("") supprimera l'entrée respective (le cas échéant). Notez que le système shadow ne stocke pas le selinux-user, il utilise semanage(8) pour cela.
--selinux-range SERANGE
définit la plage SELinux MLS pour le nouveau compte. Notez que le système shadow ne stocke pas la selinux-range, il utilise semanage(8) pour cela.
Cette option n'est valide que si l'option -Z (ou --selinux-user) est spécifiée.
AVERTISSEMENTS
Vous devez vous assurer que l'utilisateur spécifié n'exécute aucun processus lorsque cette commande est exécutée, si l'ID utilisateur numérique, le nom de l'utilisateur ou le répertoire personnel de l'utilisateur sont modifiés. usermod effectue cette vérification sous Linux. Sur d'autres systèmes d'exploitation, il utilise uniquement utmp pour vérifier si l'utilisateur est connecté.
Vous devez modifier manuellement le propriétaire de tous les fichiers crontab ou des tâches at.
Vous devez effectuer toutes les modifications concernant NIS sur le serveur NIS.
CONFIGURATION
Les variables de configuration suivantes dans /etc/login.defs modifient le comportement de cet outil :
LASTLOG_UID_MAX (nombre)
ID utilisateur maximum pour lequel les entrées `lastlog` doivent être mises à jour. Étant donné que les ID utilisateur plus élevés sont généralement suivis par des services d'identité et d'authentification utilisateur distants, il n'est pas nécessaire de créer un fichier `lastlog` volumineux pour eux.
L'absence de l'option LASTLOG_UID_MAX dans la configuration signifie qu'il n'y a pas de limite d'ID utilisateur pour l'écriture des entrées lastlog.
MAIL_DIR (chaîne)
Le répertoire du spool de courrier. Ceci est nécessaire pour manipuler la boîte aux lettres lorsque le compte d'utilisateur correspondant est modifié ou supprimé. S'il n'est pas spécifié, une valeur par défaut au moment de la compilation est utilisée. Le paramètre CREATE_MAIL_SPOOL dans /etc/default/useradd détermine si le spool de courrier doit être créé.
MAIL_FILE (chaîne)
Définit l'emplacement des fichiers de spool de courrier des utilisateurs par rapport à leur répertoire personnel.
Les variables MAIL_DIR et MAIL_FILE sont utilisées par useradd, usermod et userdel pour créer, déplacer ou supprimer le spool de courrier de l'utilisateur.
MAX_MEMBERS_PER_GROUP (nombre)
Nombre maximum de membres par entrée de groupe. Lorsque le maximum est atteint, une nouvelle entrée de groupe (ligne) est démarrée dans /etc/group (avec le même nom, le même mot de passe et le même GID).
La valeur par défaut est 0, ce qui signifie qu'il n'y a pas de limite au nombre de membres dans un groupe.
Cette fonctionnalité (groupe divisé) permet de limiter la longueur des lignes dans le fichier de groupe. Ceci est utile pour s'assurer que les lignes des groupes NIS ne dépassent pas 1 024 caractères.
Si vous devez appliquer une telle limite, vous pouvez utiliser 25.
Remarque : les groupes divisés peuvent ne pas être pris en charge par tous les outils (même dans la suite d'outils Shadow). Vous ne devez pas utiliser cette variable à moins que vous n'en ayez vraiment besoin.
SUB_GID_MIN (nombre), SUB_GID_MAX (nombre), SUB_GID_COUNT (nombre)
Si /etc/subuid existe, les commandes useradd et newusers (sauf si l'utilisateur dispose déjà d'ID de groupe subordonnés) allouent SUB_GID_COUNT ID de groupe inutilisés dans la plage SUB_GID_MIN à SUB_GID_MAX pour chaque nouvel utilisateur.
Les valeurs par défaut pour SUB_GID_MIN, SUB_GID_MAX, SUB_GID_COUNT sont respectivement 100000, 600100000 et 65536.
SUB_UID_MIN (nombre), SUB_UID_MAX (nombre), SUB_UID_COUNT (nombre)
Si /etc/subuid existe, les commandes useradd et newusers (sauf si l'utilisateur dispose déjà d'ID utilisateur subordonnés) allouent SUB_UID_COUNT ID utilisateur inutilisés dans la plage SUB_UID_MIN à SUB_UID_MAX pour chaque nouvel utilisateur.
Les valeurs par défaut pour SUB_UID_MIN, SUB_UID_MAX, SUB_UID_COUNT sont respectivement 100000, 600100000 et 65536.
FICHIERS
/etc/group
Informations sur les comptes de groupe
/etc/gshadow
Informations sécurisées sur les comptes de groupe
/etc/login.defs
Configuration de la suite de mots de passe shadow
/etc/passwd
Informations sur les comptes d’utilisateurs
/etc/shadow
Informations sécurisées sur les comptes d’utilisateurs
/etc/subgid
ID de groupe secondaires par utilisateur
/etc/subuid
ID d’utilisateurs secondaires par utilisateur
VOIR AUSSI
chfn(1), chsh(1), passwd(1), crypt(3), gpasswd(8), groupadd(8), groupdel(8), groupmod(8), login.defs(5), subgid(5), subuid(5), useradd(8), userdel(8).