doc/fr_FR.ISO8859-1/books/handbook/users/chapter.xml

<?xml version="1.0" encoding="iso-8859-1"?>
<!--
     The FreeBSD Documentation Project
     The FreeBSD French Documentation Project

     $FreeBSD$
     Original revision: 1.58
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="users">
  <info><title>Gestion des comptes et des utilisateurs</title>
    <authorgroup>
      <author><personname><firstname>Neil</firstname><surname>Blakey-Milner</surname></personname><contrib>Contribution de </contrib></author>
    </authorgroup>
    
  </info>

  
  &trans.a.fonvieille;

  <sect1 xml:id="users-synopsis">
    <title>Synopsis</title>

    <para>FreeBSD permet &agrave; de nombreux utilisateurs d'utiliser
      l'ordinateur en m<>me temps.  Evidemment, seul un de ces
      utilisateurs peut <20>tre assis devant l'<27>cran et le clavier
      &agrave; un instant donn<6E>
      <footnote>
	<para>Bon, &agrave; moins que vous ne connectiez de multiples
	terminaux, mais nous laisserons cela pour le
	<xref linkend="serialcomms"/>.</para>
      </footnote>, mais n'importe quel nombre d'utilisateurs peut ouvrir
      une session par l'interm<72>diaire du r<>seau pour mener
      &agrave; bien son
      travail.  Pour utiliser le syst<73>me chaque utilisateur doit
      poss<73>der un compte.</para>

    <para>Apr<EFBFBD>s la lecture de ce chapitre, vous conna<6E>trez:</para>

    <itemizedlist>
      <listitem>
	<para>Les diff<66>rences entre les divers comptes utilisateur sur
	  un syst<73>me FreeBSD.</para>
      </listitem>

      <listitem>
	<para>Comment ajouter des comptes utilisateur.</para>
      </listitem>

      <listitem>
	<para>Comment supprimer des comptes utilisateur.</para>
      </listitem>

      <listitem>
	<para>Comment modifier les param<61>tres d'un compte, comme le nom
	complet de l'utilisateur, ou l'interpr<70>teur de commandes
	pr<70>f<EFBFBD>r<EFBFBD>.</para>
      </listitem>

      <listitem>
	<para>Comment fixer des limites par compte, pour contr<74>ler les
	  ressources comme la m<>moire et le temps CPU auxquels les
	  comptes et les groupes de comptes sont autoris<69>s &agrave;
	  acc<63>der.</para>
      </listitem>

      <listitem>
	<para>Comment utiliser les groupes pour rendre la gestion de
	  comptes plus ais<69>e.</para>
      </listitem>
    </itemizedlist>

    <para>Avant de lire ce chapitre, vous devrez:</para>

    <itemizedlist>
      <listitem>
	<para>Comprendre les fondements d'&unix; et de FreeBSD (<xref linkend="basics"/>).</para>
      </listitem>
    </itemizedlist>
  </sect1>

  <sect1 xml:id="users-introduction">
    <title>Introduction</title>

    <para>Tout acc<63>s au syst<73>me est effectu<74>
      par l'interm<72>diaire de comptes, et tous les processus sont
      ex<65>cut<75>s par des utilisateurs, la gestion des comptes et des
      utilisateurs est capitale sur les syst<73>mes FreeBSD.</para>

    <para>Chaque compte sur un syst<73>me FreeBSD est associ<63>
      avec un certain nombre d'informations utilis<69> pour
      identifier le compte.</para>

    <variablelist>
      <varlistentry>
	<term>&ldquo;User name&rdquo; - nom d'utilisateur</term>

	<listitem>
	  <para>Le nom d'utilisateur comme il sera tap<61> &agrave;
	    l'invite <prompt>login:</prompt>.  Les noms d'utilisateur
	    doivent <20>tre uniques sur le syst<73>me; vous ne pouvez
	    pas avoir deux utilisateurs avec le m<>me nom
	    d'utilisateur.  Il y a un certain nombre de r<>gles
	    pour la cr<63>ation de noms d'utilisateur valides,
	    document<6E>es dans &man.passwd.5;; vous utiliserez
	    g<>n<EFBFBD>ralement des noms d'utilisateurs de huit lettres
	    ou moins et en minuscules.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;Password&rdquo; - mot de passe</term>

	<listitem>
	  <para>Chaque compte est associ<63> &agrave; un mot de passe.
	    Le mot de passe peut <20>tre vide, dans ce cas aucun mot de
	    passe ne sera requis pour acc<63>der au syst<73>me.
	    Ceci est une tr<74>s mauvaise id<69>e; chaque compte
	    devrait avoir un mot de passe.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;User ID (UID)&rdquo; - identifiant utilisateur</term>

	<listitem>
	  <para>L'UID est un nombre compris entre 0 et 65535<footnote xml:id="users-largeuidgid">
	    <para>Il est possible d'utiliser pour les UID/GIDs tout
	      nombre inf<6E>rieur &agrave; 4294967295, mais de
	      telles valeurs peuvent <20>tre &agrave; l'origine de
	      s<>rieux probl<62>mes avec des logiciels qui
	      font des suppositions sur la valeur des
	      identifiants.</para>
	    </footnote>, utilis<69>
	    pour identifier de fa<66>on unique un utilisateur sur le
	    syst<73>me.  Au niveau interne, FreeBSD utilise l'UID pour
	    identifier les utilisateurs&mdash;toute commande qui vous
	    permet de sp<73>cifier un utilisateur convertira le nom
	    d'utilisateur en son UID avant de le traiter.  Cela signifie
	    que vous pouvez avoir plusieurs comptes avec des noms
	    d'utilisateurs diff<66>rents mais le m<>me UID.
	    En ce qui concerne FreeBSD ces comptes ne sont qu'un seul et
	    unique utilisateur.  Il est peu probable que vous ayez
	    jamais &agrave; faire cela.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;Group ID (GID)&rdquo; - identifiant de groupe</term>

	<listitem>
	  <para>Le GID est un nombre compris entre 0 et 65535<footnoteref linkend="users-largeuidgid"/>, utilis<69>
	    pour identifier de fa<66>on unique le groupe principal auquel
	    appartient l'utilisateur.  Les groupes sont un m<>canisme
	    pour contr<74>ler l'acc<63>s aux ressources qui est
	    bas<61> sur le GID de l'utilisateur plut<75>t que
	    sur son UID.  Un utilisateur peut <20>galement
	    appartenir &agrave; plus d'un groupe.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;Login class&rdquo; - classe de session</term>

	<listitem>
	  <para>Les classes de session sont une extension du
	    m<>canisme de groupe qui apporte une flexibilit<69>
	    suppl<70>mentaire quand on adapte le syst<73>me aux
	    diff<66>rents utilisateurs.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;Password change time&rdquo; - dur<75>e de vie d'un
	  mot de passe</term>

	<listitem>
	  <para>Par d<>faut FreeBSD n'oblige pas les utilisateurs
	    &agrave; changer leur mot de passe r<>guli<6C>rement.
	    Vous pouvez forcer cela en fonction de l'utilisateur, en
	    obligeant certains ou tous les utilisateurs &agrave; changer
	    leur mot de passe apr<70>s qu'une certaine p<>riode
	    de temps se soit <20>coul<75>e.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;Account expiry time&rdquo; - date d'expiration
	  d'un compte</term>

	<listitem>
	  <para>Par d<>faut FreeBSD ne d<>sactive pas de
	    comptes apr<70>s une certaine p<>riode.  Si vous
	    cr<63>ez des comptes qui auront une dur<75>e de vie
	    limit<69>e, par exemple, dans une <20>cole o<>
	    il existe des comptes pour les <20>tudiants, alors vous
	    pouvez sp<73>cifier la date d'expiration des comptes.
	    Apr<70>s la dur<75>e d'expiration <20>coul<75>e
	    le compte ne pourra plus <20>tre utilis<69>
	    pour ouvrir de session sur le syst<73>me, bien que les
	    r<>pertoires et les fichiers attach<63>s au compte
	    seront conserv<72>s.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;User's full name&rdquo; - nom complet d'utilisateur</term>

	<listitem>
	  <para>Le nom d'utilisateur identifie uniquement le compte sur
	    FreeBSD, mais ne refl<66>te pas n<>cessairement le
	    nom r<>el de l'utilisateur.  Cette information peut <20>tre
	    associ<63>e avec le compte.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;Home directory&rdquo; - r<>pertoire
	  utilisateur</term>

	<listitem>
	  <para>Le r<>pertoire utilisateur est le chemin complet
	    vers un r<>pertoire sur le syst<73>me dans lequel se
	    retrouve l'utilisateur quand il ouvre une session sur le
	    syst<73>me.  Une convention commune est de mettre tous les
	    r<>pertoires d'utilisateurs sous
	    <filename>/home/username</filename>
	    ou <filename>/usr/home/username</filename>.
	    L'utilisateur pourra stocker ses fichiers personnel dans son
	    r<>pertoire utilisateur et dans tout sous-r<>pertoire
	    qu'il pourra y cr<63>er.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>&ldquo;User shell&rdquo; - interpr<70>teur de commandes
	  de l'utilisateur</term>

	<listitem>
	  <para>L'interpr<70>teur de commandes fournit aux utilisateurs
	    l'environnement par d<>faut pour communiquer avec le
	    syst<73>me.  Il existe plusieurs diff<66>rents types
	    d'interpr<70>teurs de commandes, et les utilisateurs
	    exp<78>riment<6E>s auront leur pr<70>f<EFBFBD>rence,
	    qui peut se refl<66>ter dans le param<61>trage
	    de leur compte.</para>
	</listitem>
      </varlistentry>
    </variablelist>

    <para>Il y a trois principales sortes de comptes: le <link linkend="users-superuser">super-utilisateur</link>, les <link linkend="users-system">utilisateurs syst<73>me</link>,
	et les <link linkend="users-user">comptes utilisateur</link>.
	Le compte super-utilisateur, normalement appel<65>
	<systemitem class="username">root</systemitem>, est utilis<69> pour g<>rer le
	syst<73>me
	sans aucune limitation de privil<69>ges.  Les utilisateurs
	syst<73>me ex<65>cutent des services.  Et enfin,
	les comptes utilisateur sont utilis<69>s par de v<>ritables
	utilisateurs, qui ouvrent des sessions, lisent leur courrier
	<09>lectronique, et ainsi de suite.</para>
  </sect1>

  <sect1 xml:id="users-superuser">
    <title>Le compte super-utilisateur</title>

    <indexterm>
      <primary>comptes</primary>
      <secondary>super-utilisateur (root)</secondary>
    </indexterm>
    <para>Le compte super-utilisateur, habituellement appel<65>
      <systemitem class="username">root</systemitem>, est pr<70>configur<75> pour
      simplifier l'administration syst<73>me, et ne devrait pas
      <20>tre utilis<69> pour des t<>ches quotidiennes comme
      l'envoi et la r<>ception de courrier <20>lectronique,
      l'exploration
      du syst<73>me, ou la programmation.</para>

    <para>Cela parce que le super-utilisateur, &agrave; la
      diff<66>rence des comptes utilisateurs ordinaires, peut agir sans
      aucune limite, et une mauvaise utilisation du compte
      super-utilisateur peut <20>tre &agrave; l'origine de r<>sultats
      catastrophiques.  On ne peut pas endommager par erreur le syst<73>me
      avec un compte utilisateur, il est donc g<>n<EFBFBD>ralement
      pr<70>f<EFBFBD>rable d'utiliser des comptes utilisateur ordinaires
      chaque fois que c'est possible, &agrave; moins d'avoir
      particuli<6C>rement besoin
      de droits suppl<70>mentaires.</para>

    <para>Vous devriez toujours v<>rifier et rev<65>rifier
      les commandes que vous tapez en tant que super-utilisateur, parce
      qu'un espace en trop ou un caract<63>re manquant peuvent signifier la
      perte d<>finitive de donn<6E>es.</para>

    <para>Donc, la premi<6D>re chose que vous devriez faire,
      apr<70>s la lecture de ce chapitre, est de vous cr<63>er
      un compte utilisateur sans privil<69>ges si vous n'en avez pas
      d<>j&agrave;.  Cela s'applique aussi bien &agrave; une machine
      multi-utilisateurs qu'&agrave; une machine mono-utilisateur.  Plus loin
      dans ce chapitre, nous expliquerons comment cr<63>er de nouveaux
      comptes, et comment passer d'un compte utilisateur ordinaire au
      compte du super-utilisateur.</para>
  </sect1>

  <sect1 xml:id="users-system">
    <title>Comptes syst<73>me</title>

    <indexterm>
      <primary>comptes</primary>
      <secondary>syst<EFBFBD>me</secondary>
    </indexterm>
    <para>Les utilisateurs syst<73>me sont ceux utilis<69>s pour
      ex<65>cuter des services comme le DNS, le courrier
      <20>lectronique,
      les serveurs web, et ainsi de suite.  La raison de cela est la
      s<>curit<69>; si tous les services s'ex<65>cutaient
      avec les droits du super-utilisateur, ils pourraient agir sans
      aucune restriction.</para>

    <indexterm>
      <primary>comptes</primary>
      <secondary><systemitem class="username">daemon</systemitem></secondary>
    </indexterm>
    <indexterm>
      <primary>comptes</primary>
      <secondary><systemitem class="username">operator</systemitem></secondary>
    </indexterm>
    <para>Des exemples d'utilisateurs syst<73>me sont
      <systemitem class="username">daemon</systemitem>, <systemitem class="username">operator</systemitem>,
      <systemitem class="username">bind</systemitem> (pour le serveur de noms de domaine),
      <systemitem class="username">news</systemitem>, et <systemitem class="username">www</systemitem>.</para>

    <indexterm>
      <primary>comptes</primary>
      <secondary><systemitem class="username">nobody</systemitem></secondary>
    </indexterm>
    <para><systemitem class="username">nobody</systemitem> est l'utilisateur sans
      privil<69>ges g<>n<EFBFBD>rique du syst<73>me.
      Cependant, il est important de garder &agrave; l'esprit que plus grand
      est le nombre de services utilisant <systemitem class="username">nobody</systemitem>,
      plus grand sera le nombre de fichiers et de processus associ<63>s
      &agrave; cet utilisateur, et par cons<6E>quent plus grand sera le
      nombre de privil<69>ges de cet utilisateur.</para>
  </sect1>

  <sect1 xml:id="users-user">
    <title>Comptes utilisateur</title>

    <indexterm>
      <primary>comptes</primary>
      <secondary>utilisateur</secondary>
    </indexterm>
    <para>Les comptes utilisateur sont le principal moyen pour les
      v<>ritables utilisateurs d'acc<63>der au
      syst<73>me, ces comptes isolent l'utilisateur du reste de
      l'environnement, emp<6D>chant les utilisateurs d'endommager
      le syst<73>me et ou les comptes d'autres utilisateurs, tout en
      leur permettant de personnaliser leur environnement sans incidence
      pour les autres utilisateurs.</para>

    <para>Chaque personne acc<63>dant &agrave; votre syst<73>me
      ne devrait poss<73>der que son propre et unique compte.  Cela
      vous permet de savoir qui fait quoi, emp<6D>che un utilisateur de
      d<>sorganiser l'environnement d'un autre ou de lire du courrier
      <20>lectronique qui ne lui est pas destin<69>, et ainsi de
      suite.</para>

    <para>Chaque utilisateur peut configurer son propre environnement en
      fonction de ses besoins, pour utiliser d'autres interpr<70>teurs
      de commandes, <20>diteurs, raccourcis de clavier,
      et langues.</para>
  </sect1>

  <sect1 xml:id="users-modifying">
    <title>Modifier des comptes</title>

    <indexterm>
      <primary>comptes</primary>
      <secondary>modification</secondary>
    </indexterm>

    <para>Il existe une vari<72>t<EFBFBD> de diff<66>rentes
      commandes disponibles dans l'environnement &unix; pour manipuler les
      comptes utilisateur.  Les commandes les plus communes sont
      r<>capitul<75>es ci-dessous, suivis par des exemples
      d<>taill<6C>s de leur utilisation.</para>

    <informaltable frame="none" pgwide="1">
      <tgroup cols="2">
      <colspec colwidth="1*"/>
      <colspec colwidth="2*"/>
	<thead>
	  <row>
	    <entry>Commande</entry>
	    <entry>R<EFBFBD>sum<EFBFBD></entry>
	  </row>
	</thead>
	<tbody>
	  <row>
	    <entry>&man.adduser.8;</entry>
	    <entry>L'application en ligne de commande recommand<6E>e
	      pour ajouter de nouveaux utilisateurs.</entry>
	  </row>
	  <row>
	    <entry>&man.rmuser.8;</entry>
	    <entry>L'application en ligne de commande recommand<6E>e
	      pour supprimer des utilisateurs.</entry>
	  </row>
	  <row>
	    <entry>&man.chpass.1;</entry>
	    <entry>Un outil flexible pour modifier les informations de
	      la base de donn<6E>es utilisateur.</entry>
	  </row>
	  <row>
	    <entry>&man.passwd.1;</entry>
	    <entry>L'outil simple en ligne de commande pour changer les
	      mots de passe utilisateur.</entry>
	  </row>
	  <row>
	    <entry>&man.pw.8;</entry>
	    <entry>Un puissant et flexible outil pour modifier tous les
	      aspects des comptes utilisateurs.</entry>
	  </row>
	</tbody>
      </tgroup>
    </informaltable>

    <sect2 xml:id="users-adduser">
      <title><command>adduser</command></title>

      <indexterm>
        <primary>compte</primary>
        <secondary>cr<EFBFBD>ation</secondary>
      </indexterm>
      <indexterm>
        <primary><command>adduser</command></primary>
      </indexterm>
      <indexterm>
        <primary><filename>/usr/share/skel</filename></primary>
      </indexterm>
      <indexterm><primary>r<EFBFBD>pertoire de squelettes</primary></indexterm>
      <para>&man.adduser.8; est un programme simple pour
	ajouter de nouveaux utilisateurs.  Il cr<63>e les entr<74>es
	dans les fichiers syst<73>me <filename>passwd</filename> et
	<filename>group</filename>.  Il cr<63>e <20>galement le
	r<>pertoire utilisateur pour le nouvel utilisateur, y copie les
	fichiers de configuration par d<>faut (&ldquo;dotfiles&rdquo;)
	&agrave; partir de <filename>/usr/share/skel</filename>, et peut
	<09>ventuellement envoyer &agrave; l'utilisateur un courrier
	<09>lectronique de bienvenue.</para>

      <example>
	<title>Ajouter un utilisateur sous &os;</title>

	<screen>&prompt.root; <userinput>adduser</userinput>
Username: <userinput>jru</userinput>
Full name: <userinput>J. Random User</userinput>
Uid (Leave empty for default):
Login group [jru]:
Login group is jru. Invite jru into other groups? []: <userinput>wheel</userinput>
Login class [default]:
Shell (sh csh tcsh zsh nologin) [sh]: <userinput>zsh</userinput>
Home directory [/home/jru]:
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username   : jru
Password   : ****
Full Name  : J. Random User
Uid        : 1001
Class      :
Groups     : jru wheel
Home       : /home/jru
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): <userinput>yes</userinput>
adduser: INFO: Successfully added (jru) to the user database.
Add another user? (yes/no): <userinput>no</userinput>
Goodbye!
&prompt.root;</screen>
      </example>

      <note>
	<para>Le mot de passe que vous tapez n'appara<72>t pas &agrave;
	  l'<27>cran, et il n'y a pas non plus d'ast<73>risques
	  affich<63>s.  Assurez-vous de ne pas vous tromper dans
	  le mot de passe.</para>
      </note>
    </sect2>

    <sect2 xml:id="users-rmuser">
      <title><command>rmuser</command></title>

      <indexterm><primary><command>rmuser</command></primary></indexterm>
      <indexterm>
        <primary>comptes</primary>
        <secondary>suppression</secondary>
      </indexterm>

      <para>Vous pouvez utiliser &man.rmuser.8; pour
	supprimer compl<70>tement un utilisateur du syst<73>me.
	&man.rmuser.8; effectue les op<6F>rations
	suivantes:</para>

      <procedure>
	<step>
	  <para>Supprime les entr<74>es appartenant &agrave; l'utilisateur
	  de la &man.crontab.1; (s'il y en a).</para>
	</step>
	<step>
	  <para>Supprime les t<>ches &man.at.1; appartenant &agrave;
	    l'utilisateur.</para>
	</step>
	<step>
	  <para>Tue tous les processus appartenant &agrave;
	    l'utilisateur.</para>
	</step>
	<step>
	  <para>Supprime l'utilisateur du fichier de mots de passe
	    local.</para>
	</step>
	<step>
	  <para>Supprime le r<>pertoire l'utilisateur (s'il lui
	    appartient).</para>
	</step>
	<step>
	  <para>Supprime les courriers <20>lectroniques en attente pour
	  l'utilisateur dans <filename>/var/mail</filename>.</para>
	</step>
	<step>
	  <para>Supprime tous les fichiers temporaires appartenant &agrave;
	    l'utilisateur des zones de stockages temporaires comme
	    <filename>/tmp</filename>.</para>
	</step>
	<step>
	  <para>Et enfin, supprime l'utilisateur de tous les groupes
	    auxquels il appartient dans <filename>/etc/group</filename>.</para>

	    <note>
	      <para>Si un groupe est vide de ce fait et que le nom du
		groupe est le m<>me que celui de l'utilisateur,
		le groupe est supprim<69>; c'est la r<>ciproque de la
		cr<63>ation par &man.adduser.8; d'un groupe propre
		pour chaque utilisateur.</para>
	    </note>
	</step>
      </procedure>

      <para>&man.rmuser.8; ne peut pas <20>tre
	employ<6F> pour supprimer des comptes super-utilisateur,
	car cela entra<72>nerait presque toujours des destructions
	massives.</para>

      <para>Par d<>faut, la commande travaille en mode interactif, pour
	garantir que vous soyez s<>r de ce que vous
	faites.</para>

      <example>
	<title>Suppression interactive de compte avec <command>rmuser</command></title>

	<screen>&prompt.root; <userinput>rmuser jru</userinput>
Matching password entry:
jru:*:1001:1001::0:0:J. Random User:/home/jru:/usr/local/bin/zsh
Is this the entry you wish to remove? <userinput>y</userinput>
Remove user's home directory (/home/jru)? <userinput>y</userinput>
Updating password file, updating databases, done.
Updating group file: trusted (removing group jru -- personal group is empty) done.
Removing user's incoming mail file /var/mail/jru: done.
Removing files belonging to jru from /tmp: done.
Removing files belonging to jru from /var/tmp: done.
Removing files belonging to jru from /var/tmp/vi.recover: done.
&prompt.root;</screen>
      </example>
    </sect2>

    <sect2 xml:id="users-chpass">
      <title><command>chpass</command></title>

      <indexterm><primary><command>chpass</command></primary></indexterm>
      <para>&man.chpass.1; modifie les informations de la
	base de donn<6E>es des utilisateurs comme les mots de passe,
	les interpr<70>teurs de commandes, et les informations
	personnelles.</para>

      <para>Seuls les administrateurs syst<73>me, comme le
	super-utilisateur, peuvent modifier les informations concernant
	les autres utilisateurs et les mots de passe &agrave; l'aide de
	&man.chpass.1;.</para>

      <para>Utilis<EFBFBD> sans options, en dehors du nom facultatif de
	l'utilisateur, &man.chpass.1; ouvre un <20>diteur
	affichant les informations de l'utilisateur.  Quand
	l'utilisateur quitte l'<27>diteur, la base de donn<6E>es
	utilisateur est mise &agrave; jour avec les nouvelles
	informations.</para>

      <note>
	<para>On vous demandera votre mot de passe
	  en quittant l'<27>diteur si vous n'<27>tes pas le
	  super-utilisateur.</para>
      </note>

      <example>
	<title><command>chpass</command> interactif par le super-utilisateur</title>

	<screen>#Changing user database information for jru.
Login: jru
Password: *
Uid [#]: 1001
Gid [# or name]: 1001
Change [month day year]:
Expire [month day year]:
Class:
Home directory: /home/jru
Shell: /usr/local/bin/zsh
Full Name: J. Random User
Office Location:
Office Phone:
Home Phone:
Other information:</screen>
      </example>

      <para>Un utilisateur ordinaire ne peut modifier qu'une partie de
	ces informations, et seulement celles qui le concernent.</para>

      <example>
	<title><command>chpass</command> interactif par un utilisateur ordinaire</title>

	<screen>#Changing user database information for jru.
Shell: /usr/local/bin/zsh
Full Name: J. Random User
Office Location:
Office Phone:
Home Phone:
Other information:</screen>
      </example>

      <note>
	<para>&man.chfn.1; et &man.chsh.1; sont
	  juste des liens vers &man.chpass.1;, comme le sont
	  &man.ypchpass.1;, &man.ypchfn.1;, et
	  &man.ypchsh.1;.  NIS est support<72>
	  automatiquement, aussi sp<73>cifier <literal>yp</literal>
	  avant la commande n'est pas n<>cessaire.  Si cela vous
	  semble confus, ne vous inqui<75>tez pas, NIS sera
	  abord<72> dans le chapitre <xref linkend="network-servers"/>.</para>
      </note>
    </sect2>
    <sect2 xml:id="users-passwd">
      <title><command>passwd</command></title>

      <indexterm><primary><command>passwd</command></primary></indexterm>
      <indexterm>
        <primary>comptes</primary>
        <secondary>modifier le mot de passe</secondary>
      </indexterm>
      <para>&man.passwd.1; est la m<>thode habituelle
	pour modifier son mot de passe, ou celui d'un autre utilisateur
	si vous <20>tes le super-utilisateur.</para>

      <note>
	<para>Pour pr<70>venir des modifications accidentelles ou
	  non autoris<69>es, le mot de passe original doit
	  <20>tre entr<74> avant de pouvoir fixer un nouveau mot
	  de passe.</para>
      </note>

      <example>
	<title>Modifier votre mot de passe</title>

	<screen>&prompt.user; <userinput>passwd</userinput>
Changing local password for jru.
Old password:
New password:
Retype new password:
passwd: updating the database...
passwd: done</screen>
      </example>

      <example>
	<title>Modifier le mot de passe d'un autre utilisateur en tant
	  que super-utilisateur</title>

        <screen>&prompt.root; <userinput>passwd jru</userinput>
Changing local password for jru.
New password:
Retype new password:
passwd: updating the database...
passwd: done</screen>
      </example>

      <note>
	<para>Comme pour &man.chpass.1;,
	  &man.yppasswd.1; est juste un lien vers
	  &man.passwd.1;, donc NIS fonctionnera avec l'une
	  des deux commandes.</para>
      </note>
    </sect2>


    <sect2 xml:id="users-pw">
      <title><command>pw</command></title>
      <indexterm><primary><command>pw</command></primary></indexterm>

      <para>&man.pw.8; est un utilitaire en ligne de commande pour
	cr<63>er, supprimer, modifier, et lister utilisateurs et groupes.
	Il fonctionne comme une interface aux fichiers d'utilisateurs et
	de groupe.  &man.pw.8; poss<73>de un ensemble puissant
	d'options qui le rende adapt<70> &agrave; une utilisation
	dans des proc<6F>dures, mais les nouveaux utilisateurs
	pourront le trouver plus compliqu<71> que les autres
	commandes pr<70>sent<6E>es ici.</para>
    </sect2>


  </sect1>

  <sect1 xml:id="users-limiting">
    <title>Mettre en place des restrictions pour les utilisateurs</title>

    <indexterm><primary>restrictions pour les utilisateurs</primary></indexterm>
    <indexterm>
      <primary>comptes</primary>
      <secondary>restriction</secondary>
    </indexterm>
    <para>Si vous avez plusieurs utilisateurs sur votre syst<73>me,
      la possibilit<69> de limiter leur utilisation du syst<73>me
      peut venir &agrave; l'esprit.
      FreeBSD fournit plusieurs m<>thodes &agrave;
      l'administrateur syst<73>me pour limiter la quantit<69> de
      ressources syst<73>me qu'un utilisateur peut utiliser.
      Ces limites sont g<>n<EFBFBD>ralement divis<69>es
      en deux parties: les quotas disque, et les autres limites de
      ressource.</para>

    <indexterm><primary>quotas</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>quotas</secondary>
    </indexterm>
    <indexterm><primary>quotas disque</primary></indexterm>
    <para>Les quotas limitent l'utilisation des disques par les
      utilisateurs, et
      ils fournissent un moyen de
      v<>rifier rapidement cette utilisation
      sans avoir &agrave; faire des calculs &agrave; chaque fois.
      Les quotas sont abord<72>s dans la <xref linkend="quotas"/>.</para>

    <para>Les autres limites de ressource comprennent les moyens de
      limiter l'utilisation du CPU, de la m<>moire, et les autres
      ressources qu'un utilisateur peut consommer.  Elles sont
      d<>finies en employant des classes de session et sont
      abord<72>es ici.</para>

    <indexterm>
      <primary><filename>/etc/login.conf</filename></primary>
    </indexterm>
    <para>Les classes de session sont d<>finies dans
      <filename>/etc/login.conf</filename>.  La s<>mantique
      pr<70>cise sort du cadre de cette section, mais est
      d<>crite en d<>tail dans la page de manuel
      &man.login.conf.5;.  Il est suffisant de dire que chaque
      utilisateur est assign<67> &agrave; une classe
      (<literal>default</literal> par d<>faut), et que chaque classe
      dispose d'un ensemble de capacit<69>s associ<63>es.
      La forme utilis<69>e pour ces capacit<69>s est une paire
      <literal>nom=valeur</literal>
      o<> <replaceable>nom</replaceable> est un identifiant connu et
      <replaceable>valeur</replaceable> est une cha<68>ne arbitraire
      d<>pendante du nom.  Param<61>trer des classes et des
      capacit<69>s est plut<75>t direct et <20>galement
      d<>crit dans &man.login.conf.5;.</para>

    <note>
      <para>Le syst<73>me ne lit normalement pas directement le fichier
	<filename>/etc/login.conf</filename>, mais plut<75>t la
	base de donn<6E>es
	<filename>/etc/login.conf.db</filename> qui fournit plus
	rapidement les r<>ponses au syst<73>me.  Pour
	g<>n<EFBFBD>rer <filename>/etc/login.conf.db</filename>
	&agrave; partir du fichier
	<filename>/etc/login.conf</filename>, ex<65>cutez la
	commande suivante:</para>

      <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>
    </note>

    <para>Les limites de ressource sont diff<66>rentes des
      capacit<69>s standards des classes en deux points.
      Premi<6D>rement, pour chaque limite, il existe une limite douce
      (actuelle) et limite dure.  Une limite douce peut <20>tre
      ajust<73>e par l'utilisateur ou une application, mais jamais
      d<>passer la limite dure.  Cette derni<6E>re peut <20>tre
      abaiss<73>e par l'utilisateur, mais jamais augment<6E>e.
      Deuxi<78>mement, la plupart des limites de ressource s'applique
      par processus &agrave; un utilisateur sp<73>cifique, et non pas
      &agrave; l'utilisateur dans sa totalit<69>.  Notez, cependant, que ces
      diff<66>rences sont exig<69>es par la manipulation
      sp<73>cifique des
      limites, et non pas par l'impl<70>mentation du syst<73>me des
      capacit<69>s des classes de session utilisateur (i.e., elles ne sont
      <emphasis>vraiment</emphasis> pas un cas particulier des
      capacit<69>s des classes de session).</para>

    <para>Sans plus attendre, ci-dessous sont pr<70>sent<6E>es
      les limites de ressource les plus souvent utilis<69>es
      (le reste, avec les autres capacit<69>s des classes
      de session, peut <20>tre trouv<75> dans
      &man.login.conf.5;).</para>

    <variablelist>
      <varlistentry>
        <term><literal>coredumpsize</literal></term>

	<listitem>
    <indexterm><primary>coredumpsize</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>coredumpsize</secondary>
    </indexterm>
	  <para>La limite sur la taille du fichier core
	    g<>n<EFBFBD>r<EFBFBD> par un programme est, pour
	    d'<27>videntes raisons, subordonn<6E>e aux autres limites
	    sur l'utilisation du disque (e.g., <literal>filesize</literal>,
	    ou les quotas de disque).  N<>anmoins, elle est souvent
	    employ<6F>e comme m<>thode moins
	    s<>v<EFBFBD>re pour contr<74>ler la
	    consommation d'espace disque: puisque les utilisateurs ne
	    g<>n<EFBFBD>rent pas de fichier core eux-m<>mes,
	    et souvent ne les
	    suppriment pas, param<61>trer cela peut leur <20>viter
	    de manquer d'espace disque si un programme important (e.g.,
	    <application>emacs</application>) plante.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>cputime</literal></term>

	<listitem>
    <indexterm><primary>cputime</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>cputime</secondary>
    </indexterm>
	  <para>C'est la quantit<69> maximale de temps CPU qu'un
	    processus d'un utilisateur peut consommer.  Les processus
	    la d<>passant seront tu<74>s par le noyau.</para>

	    <note>
	      <para>C'est une limite sur le <emphasis>temps</emphasis>
		CPU consomm<6D>, non sur le pourcentage comme
		affich<63> par certains champs de &man.top.1; et
		&man.ps.1;.  Une limite sur ce dernier est, au moment de
		l'<27>criture de ces lignes, impossible, et serait
		plut<75>t inutile: un compilateur&mdash;probablement
		une t<>che l<>gitime&mdash;peut
		ais<69>ment utiliser presque 100% du CPU pendant un certain
		temps.</para>
	    </note>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>filesize</literal></term>

	<listitem>
    <indexterm><primary>filesize</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>filesize</secondary>
    </indexterm>
	  <para>C'est la taille maximale du plus gros fichier qu'un utilisateur
	    peut poss<73>der.  Contrairement aux <link linkend="quotas">quotas</link>, cette limite ne s'applique
	    qu'aux fichiers individuellement, et non pas sur l'ensemble
	    lui-m<>me de tous les fichiers que poss<73>de
	    un utilisateur.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>maxproc</literal></term>

	<listitem>
    <indexterm><primary>maxproc</primary></indexterm>
        <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>maxproc</secondary>
    </indexterm>
	  <para>C'est le nombre maximal de processus que peut ex<65>cuter
	    un utilisateur en m<>me temps.  Ceci inclut
	    les processus de premier plan et de t<>che de fond.
	    Pour d'<27>videntes raisons, il ne doit pas <20>tre plus
	    grand que les limites du syst<73>me sp<73>cifi<66>es
	    par la variable &man.sysctl.8;
	    <varname>kern.maxproc</varname>.  Notez en outre qu'une
	    valeur trop basse peut g<>ner la productivit<69>
	    de l'utilisateur: il est souvent utile d'ouvrir plusieurs
	    sessions &agrave; la fois ou d'ex<65>cuter des op<6F>rations
	    sous forme de &ldquo;pipeline&rdquo;.
	    Certaines t<>ches, comme
	    compiler un gros programme, engendrent <20>galement
	    de multiples processus (e.g., &man.make.1;, &man.cc.1;, et
	    autres pr<70>processeurs).</para>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>memorylocked</literal></term>

	<listitem>
    <indexterm><primary>memorylocked</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>memorylocked</secondary>
    </indexterm>
	  <para>C'est la quantit<69> maximale de m<>moire
	    qu'un processus peut avoir demand<6E> de verrouiller en
	    m<>moire principale (e.g., voir &man.mlock.2;).
	    Certains programmes syst<73>me critiques, comme
	    &man.amd.8;, sont verrouill<6C>s en m<>moire
	    principale de sorte qu'en cas de d<>passement de la
	    m<>moire de pagination, ils ne contribuent pas aux ennuis
	    du syst<73>me.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>memoryuse</literal></term>

	<listitem>
    <indexterm><primary>memoryuse</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>memoryuse</secondary>
    </indexterm>
	  <para>C'est la quantit<69> maximale de m<>moire
	    qu'un processus peut consommer &agrave; un instant donn<6E>.
	    Cela inclus la m<>moire principale et celle de pagination.
	    Ce n'est pas le rem<65>de miracle pour restreindre la
	    consommation de m<>moire, mais c'est un bon
	    d<>but.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>openfiles</literal></term>

	<listitem>
    <indexterm><primary>openfiles</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>openfiles</secondary>
    </indexterm>
	  <para>C'est le nombre maximal de fichiers qu'un processus peut
	    avoir ouvert.  Sous FreeBSD, des fichiers sont <20>galement
	    employ<6F>s pour repr<70>senter les sockets et
	    les canaux IPC, par cons<6E>quent faites attention
	    &agrave; ne fixer une valeur trop basse.  La limite
	    g<>n<EFBFBD>rale du syst<73>me pour cela est
	    d<>finie par la variable &man.sysctl.8;
	    <varname>kern.maxfiles</varname>.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>sbsize</literal></term>

	<listitem>
    <indexterm><primary>sbsize</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>sbsize</secondary>
    </indexterm>
	  <para>C'est une limite sur la quantit<69> de
	    m<>moire r<>seau, et donc de &ldquo;mbufs&rdquo;,
	    qu'un utilisateur peut consommer.  Ceci est &agrave;
	    l'origine une r<>ponse &agrave; une vielle attaque par
	    refus de service en cr<63>ant de nombreuses sockets, mais peut
	    <20>tre g<>n<EFBFBD>ralement employ<6F>e
	    pour limiter les communications r<>seau.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
        <term><literal>stacksize</literal></term>

	<listitem>
    <indexterm><primary>stacksize</primary></indexterm>
    <indexterm>
      <primary>restrictions pour les utilisateurs</primary>
      <secondary>stacksize</secondary>
    </indexterm>
	  <para>C'est la taille maximale de la pile d'un processus.
	    Seule, cela n'est pas suffisant pour limiter la quantit<69>
	    de m<>moire que peut utiliser un programme, par
	    cons<6E>quent, cette limite devra <20>tre
	    utilis<69>e en m<>me temps que d'autres
	    limitations.</para>
	</listitem>
      </varlistentry>
    </variablelist>

    <para>Il y a quelques <20>l<EFBFBD>ments
      &agrave; se rappeler quand on fixe des
      limites de ressource.  Quelques astuces g<>n<EFBFBD>rales,
      suggestions, et commentaires divers:</para>

    <itemizedlist>
      <listitem>
        <para>Les processus lanc<6E>s au d<>marrage
	  du syst<73>me par <filename>/etc/rc</filename>
	  sont assign<67>s &agrave; la classe
	  <literal>daemon</literal>.</para>
      </listitem>

      <listitem>
        <para>Bien que le fichier <filename>/etc/login.conf</filename>
	  qui est fourni avec le syst<73>me est une bonne source
	  de valeurs raisonnables pour la plupart des limites, seul
	  vous, l'administrateur, peut savoir ce qui est appropri<72>
	  &agrave; votre syst<73>me.  Fixer une limite trop haute
	  peut laisser la porte ouverte aux abus, alors qu'une limite
	  trop basse peut <20>tre un frein &agrave; la
	  productivit<69>.</para>
      </listitem>

      <listitem>
        <para>Les utilisateurs du syst<73>me X Window (X11) devraient
	  se voir allouer plus de ressources que les autres
	  utilisateurs.  X11 par lui-m<>me utilise beaucoup de
	  ressources, mais il encourage <20>galement les
	  utilisateurs &agrave; ex<65>cuter plus de
	  programmes simultan<61>ment.</para>
      </listitem>

      <listitem>
        <para>Souvenez-vous que de nombreuses limites ne s'appliquent
	  qu'aux processus individuels, et non pas &agrave; l'utilisateur
	  globalement.  Par exemple, param<61>trer
	  <varname>openfiles</varname> &agrave; 50 signifie
	  que chaque processus que l'utilisateur ex<65>cute pourra ouvrir
	  jusqu'&agrave; 50 fichiers.  Ainsi, la quantit<69> totale
	  de fichiers qu'un utilisateur peut ouvrir est la valeur
	  <literal>openfiles</literal> multipli<6C>e par la valeur
          <literal>maxproc</literal>.  Ceci s'applique <20>galement
	  &agrave; la consommation de m<>moire.</para>
      </listitem>
    </itemizedlist>

    <para>Pour de plus amples informations sur les limites et les
      classes de session et les capacit<69>s en
      g<>n<EFBFBD>ral, veuillez consulter les pages de manuel
      appropri<72>es: &man.cap.mkdb.1;, &man.getrlimit.2;,
      &man.login.conf.5;.</para>
  </sect1>

  <sect1 xml:id="users-groups">
    <title>Groupes</title>

    <indexterm><primary>groupes</primary></indexterm>
    <indexterm>
      <primary><filename>/etc/groups</filename></primary>
    </indexterm>
    <indexterm>
      <primary>comptes</primary>
      <secondary>groupes</secondary>
    </indexterm>
    <para>Un groupe est simplement une liste d'utilisateurs.  Les
      groupes sont identifi<66>s par leur nom et leur GID
      (identificateur de groupe).  Dans FreeBSD (et la plupart des
      syst<73>mes &unix;), les deux <20>l<EFBFBD>ments
      que le noyau utilise pour d<>cider si un processus
      est autoris<69> &agrave; faire quelque chose sont son ID
      utilisateur et la liste des groupes auxquels il appartient.
      Diff<66>rent d'un identificateur utilisateur, un
      processus est associ<63> &agrave; une liste de groupes.  Vous pourrez
      entendre faire r<>f<EFBFBD>rences au &ldquo;group ID&rdquo;
      d'un utilisateur ou d'un processus; la plupart du temps on veut
      parler du premier groupe dans la liste.</para>

    <para>La table d'<27>quivalence nom de groupe et identificateur de
      groupe se trouve dans <filename>/etc/group</filename>.  C'est un
      fichier texte avec quatre champs d<>limit<69>s par deux points.
      Le premier champ est le nom du groupe, le second est le mot de
      passe crypt<70>, le troisi<73>me est l'ID du groupe, et le
      quatri<72>me est
      une liste de membres s<>par<61>s par des virgules.
      Ce fichier peut sans risque <20>tre <20>dit<69>
      &agrave; la main (en supposant, bien s<>r, que vous ne faites pas
      d'erreur de syntaxe!).  Pour une description compl<70>te de le
      syntaxe, voir la page de manuel &man.group.5;.</para>

    <para>Si vous ne voulez pas <20>diter
      <filename>/etc/group</filename> &agrave; la main, vous pouvez
      utiliser la commande &man.pw.8; pour ajouter et <20>diter
      des groupes.  Par exemple, pour ajouter un groupe appel<65>
      <systemitem class="groupname">teamtwo</systemitem> et ensuite v<>rifier qu'il existe
      bien vous pouvez utiliser:</para>

    <example>
      <title>Ajouter un groupe en utilisant &man.pw.8;</title>

      <screen>&prompt.root; <userinput>pw groupadd teamtwo</userinput>
&prompt.root; <userinput>pw groupshow teamtwo</userinput>
teamtwo:*:1100:</screen>
    </example>

    <para>Le nombre <literal>1100</literal> ci-dessus est
      l'identificateur de groupe pour le groupe
      <systemitem class="groupname">teamtwo</systemitem>.  A cet instant
      <systemitem class="groupname">teamtwo</systemitem> n'a aucun membre, et est par
      cons<6E>quent plut<75>t inutile.  Changeons cela en ajoutant
      <systemitem class="username">jru</systemitem> au groupe
      <systemitem class="groupname">teamtwo</systemitem>.</para>

    <example>
      <title>Ajouter quelqu'un dans un groupe en utilisant
	&man.pw.8;</title>

      <screen>&prompt.root; <userinput>pw groupmod teamtwo -M jru</userinput>
&prompt.root; <userinput>pw groupshow teamtwo</userinput>
teamtwo:*:1100:jru</screen>
    </example>

    <para>Le param<61>tre ajout<75> &agrave; l'option <option>-M</option>
      est une liste, d<>limit<69>e par des virgules,
      d'utilisateurs qui sont membres du groupe.  Des sections
      pr<70>c<EFBFBD>dentes nous savons que le fichier des mots de passe
      contient <20>galement un groupe pour chaque utilisateur.  Le dernier
      (utilisateur) est automatiquement ajout<75> &agrave; la
      liste des groupes par le syst<73>me; l'utilisateur
      n'appara<72>tra pas comme <20>tant membre quand on utilise
      l'option <option>groupshow</option> avec &man.pw.8;, mais
      appara<72>tra quand l'information est demand<6E>e
      par l'interm<72>diaire de &man.id.1; ou un outil similaire.
      En d'autres termes, &man.pw.8; manipule uniquement le fichier
      <filename>/etc/group</filename>, il n'essaiera jamais de lire des
      donn<6E>es suppl<70>mentaires &agrave; partir
      du fichier <filename>/etc/passwd</filename>.</para>

    <example>
      <title>Utilisation de &man.id.1; pour d<>terminer
	l'appartenance &agrave; un groupe</title>

      <screen>&prompt.user; <userinput>id jru</userinput>
uid=1001(jru) gid=1001(jru) groups=1001(jru), 1100(teamtwo)</screen>
    </example>

    <para>Comme vous pouvez le voir, <systemitem class="username">jru</systemitem> est membre
      des groupes <systemitem class="groupname">jru</systemitem> et
      <systemitem class="groupname">teamtwo</systemitem>.</para>

    <para>Pour plus d'information sur &man.pw.8;, voir sa page de
      manuel, et pour d'information sur le format de
      <filename>/etc/group</filename>, consultez la page de manuel
      &man.group.5;.</para>
  </sect1>
</chapter>