HOMECTL(1) homectl HOMECTL(1) BEZEICHNUNG homectl - Erstellen, Entfernen, Andern oder Untersuchen von Home-Verzeichnissen UBERSICHT homectl [OPTIONEN] {BEFEHL} [NAME] BESCHREIBUNG homectl kann zum Erstellen, Entfernen, Andern oder Untersuchen des Home-Verzeichnisses eines Benutzers verwandt werden. Es ist die primare Befehlsschnittstelle fur systemd-homed.service(8), der die Home-Verzeichnisse von Benutzern verwaltet. Durch systemd-homed.service verwaltete Home-Verzeichnisse sind eigenstandig und enthalten daher den kompletten Metadatensatz des Benutzers im Speicher selbst, wodurch sie leicht zwischen Maschinen migriert werden konnen. Insbesondere beschreibt ein Home-Verzeichnis einen zugehorigen Benutzerdatensatz und jeder von systemd-homed.service verwaltete Benutzerdatensatz impliziert auch die Existenz und die Kapselung eines Home-Verzeichnisses. Das Benutzerkonto und Home-Verzeichnis werden zum gleichen Konzept. Die folgenden zugrundeliegenden Speichermechanismen werden unterstutzt: o Ein individuelles LUKS2-verschlusseltes Loopback-Gerat fur jeden Benutzer, gespeichert in /home/*.home. Bei der Anmeldung wird das in dieser Datei befindliche Dateisystem eingehangt, nachdem der LUKS2-verschlussselte Datentrager angehangt wurde. Das Benutzerpasswort ist identisch zur Verschlusselungspassphrase des LUKS2-Datentragers. Daher ist ohne vorherige Benutzerauthentifizierung kein Datenzugriff moglich, selbst fur den Systemadministrator. Dieser Speichermechanismus stellt die starkste Datensicherheit bereit und wird daher empfohlen. o Ahnlich aber das mit LUKS2 verschlusselte Dateisystem befindet sich auf regularen Blockgeraten, wie einem USB-Speichermedium. In diesem Modus konnen Home-Verzeichnisse samt samtlichen Metadaten bequem zwischen Maschinen einfach durch Einstecken des USB-Mediums in verschiedene Systeme zu verschiedenen Zeitpunkten migriert werden. o Ein mit >>fscrypt<< verschlusseltes Verzeichnis auf Dateisystemen, die dies unterstutzen (derzeit ist dies primar >>ext4<<), befindlich in /home/*.homedir. Dieser Mechanismus stellt auch Verschlusselung bereit, allerdings deutlich schwachere als LUKS2, und der Grossteil der Dateisystemmetadaten ist nicht geschutzt. Derzeit erlaubt dies nach der Erstellung des Home-Verzeichnisses auch keine Anderung des Benutzerpasswortes. o Ein >>btrfs<<-Teildatentrager fur jeden Benutzer, auch in /home/*.homedir befindlich. Dies stellt keine Verschlusselung, aber gute Kontingent-Unterstutzung bereit. o Ein regulares Verzeichnis fur jeden Benutzer, auch unter /home/*.homedir befindlich. Dies stellt keine Verschlusselung bereit, ist aber eine auf allen Maschinen verfugbare geeignete Ruckfalloption, selbst wenn die Unterstutzung fur LUKS2, >>fscrypt<< oder >>btrfs<< nicht verfugbar ist. o Eine individuelle Windows-Dateifreigabe (CIFS) fur jeden Benutzer. Beachten Sie dass systemd-homed.service und homectl keine mit useradd(8) und ahnlichen Werkzeugen erstellten >>klassischen<< UNIX-Benutzerkonten verwalten. Insbesondere ist diese Funktionalitat nicht zur Verwaltung von Systembenutzern (d.h. Benutzern mit UID unterhalb 1000) geeignet und ausschliesslich fur regulare (>>menschliche<<) Benutzer gedacht. Beachten Sie, dass mittels systemd-homed.service verwaltete Benutzer/Home-Verzeichnisse nicht in /etc/passwd und ahnlichen Dateien auftauchen, sie werden mittels Glibc NSS wahrend der Laufzeit kunstlich erzeugt. Sie sind daher mit dem Werkzeug getent(1) auflosbar und konnen hierdurch aufgezahlt werden. Dieses Werkzeug hat eine direkte Schnittstelle zu systemd-homed.service und kann fur das von ihm verwaltete Home-Verzeichnis bestimmte Befehle ausfuhren. Da jedes auf diese Weise verwaltete Home-Verzeichnis auch einen JSON-Benutzer- und -Gruppendatensatz definiert, konnen Home-Verzeichnisse auch mittels userdbctl(1) untersucht und aufgezahlt werden. Durch systemd-homed.service verwaltete Dienste sind normalerweise in einem von zwei Zustanden oder in einem Ubergangszustand zwischen diesen: wenn >>aktiv<<, dann sind sie eingehangt und nicht gesperrt und das System und dessen Programme konnen darauf zugreifen; wenn >>inaktiv<<, dann sind sie nicht eingehangt und auf sie kann nicht zugegriffen werden. Die Aktivierung geschieht automatisch beim Anmelden des Benutzers und kann normalerweise nur durch Eingabe eines Passworts (oder eines anderen Authentifizierungsmerkmals) abgeschlossen werden. Deaktivierung passiert nach der vollstandigen Abmeldung des Benutzers. Ein Home-Verzeichnis bleibt aktiv, solange der Benutzer mindestens einmal angemeldet ist, d.h. dass er mindestens eine Anmeldesitzung hat. Wenn sich der Benutzer ein zweites Mal simultan anmeldet, bleibt das Home-Verzeichnis aktiv. Es wird erst deaktiviert, nachdem die letzte Sitzung des Benutzers endete. OPTIONEN Die folgenden allgemeinen Optionen werden verarbeitet (weitere Optionen, die die verschiedenen Eigenschaften des durch systemd-homed.service verwalteten Benutzerdatensatzes beschreiben, sind weiter unten dokumentiert): --identity=DATEI Liest den JSON-Datensatz des Benutzers aus der angegebenen Datei. Falls >>-<< ubergeben wird, wird der Benutzerdatensatz aus der Standardeingabe gelesen. Das bereitgestellte JSON-Objekt muss der in JSON-Benutzerdatensatze[1] angegebenen Struktur folgen. Diese Option kann mit den nachfolgend beschriebenen Befehlen create und update zusammen verwandt werden, wodurch die Konfiguration des Benutzerdatensatzes direkt in JSON ermoglicht wird, statt die einzelnen Benutzerdatensatzeigenschaften einzeln zu setzen (siehe unten). Hinzugefugt in Version 245. --json=FORMAT, -j Steuert, ob die Ausgabe im JSON-Format erfolgt, falls der Befehl inspect verwandt wird (siehe unten). Akzeptiert entweder >>pretty<<, >>short<< oder >>off<<. Falls >>pretty<<, werden Leerzeichen und Zeilenumbruche in die Ausgabe eingefugt, um die JSON-Daten fur menschliche Augen lesbarer darzustellen. Falls >>short<<, wird aller uberflussiger Leerraum entfernt. Falls >>off<< (die Vorgabe), wird die Benutzer-Information nicht im JSON-Format sondern in freundlicher, fur Menschen gedachter Formatierung dargestellt. Die Option -j wahlt beim interaktiven Betrieb >>pretty<< und andernfalls >>short<< aus. Hinzugefugt in Version 245. --export-format=FORMAT, -E, -EE Wird dies zusammen mit dem Unterbefehl inspect im JSON-Modus (siehe oben) verwandt, kann dies zum Unterdrucken bestimmter Aspekte des JSON-Benutzerdatensatzes in der Ausgabe verwandt werden. Insbesondere falls das Format >>stripped<< verwandt wird, werden die Zusammenhalte- und Laufzeitfelder des Datensatzes entfernt. Falls das Format >>minimal<< verwandt wird, wird auch die kryptographische Signatur entfernt. Falls das Format >>fully<< verwandt wird, wird der komplette JSON-Datensatz angezeigt (dies ist die Vorgabe). Diese Option ist zum Kopieren eines bestehenden Benutzerdatensatzes auf ein anderes System nutzlich, um dort einen ahnlichen Benutzer mit den gleichen Einstellungen zu erstellen. Insbesondere kann >>homectl inspect -EE | ssh root@anderessystem homectl create -i-<< als einfache Befehlszeile zur Replizierung eines Benutzers auf einen anderen Rechner verwandt werden. -E ist aquivalent zu -j --export-format=stripped, -EE zu -j --export-format=minimal. Beachten Sie, dass im Modus >>stripped<< erlangte Benutzerdatensatze beim Replizieren die ursprungliche kryptographische Signatur beibehalten und daher nur verandert werden konnen, wenn der private Schlussel fur deren Aktualisierung auf der Zielmaschine verfugbar ist. Bei der Replizierung im Modus >>minimal<< wird wahrend der Replizierung die Signatur entfernt und daher wird der Datensatz implizit mit dem Schlussel der Zielmaschine signiert und kann dort aktualisiert werden, ohne dass ein privater Schlussel repliziert werden muss. Hinzugefugt in Version 245. -H, --host= Fuhrt die Aktion aus der Ferne aus. Geben Sie den Rechnernamen oder einen Benutzernamen und Rechnernamen (getrennt durch >>@<<) an, zu dem verbunden werden soll. Dem Rechnernamen darf optional ein Port, auf dem SSH auf Anfragen wartet, getrennt durch >>:<< und dann ein Container auf dem angegebenen Host angehangt werden, womit direkt zu einem bestimmten Container auf dem angegebenen Rechner verbunden wird. Dies verwendet SSH, um mit der Maschinen-Verwalterinstanz auf dem Rechner in der Ferne zu kommunizieren. Container-Namen durfen mit machinectl -H RECHNER aufgezahlt werden. Stellen Sie IPv6-Adressen in Klammern. -M, --machine= Fuhrt die Aktion in einem lokalen Container aus. Geben Sie den Namen des Containers an, zu dem verbunden werden soll. Optional kann diesem ein Benutzername, abgetrennt durch ein >>@<<-Zeichen, als der verbunden werden soll, vorangestellt werden. Falls die besondere Zeichenkette >>.host<< anstelle des Container-Names verwandt wird, wird eine Verbindung zu dem lokalen System aufgebaut (das ist nutzlich, um sich zu dem Benutzerbus eines bestimmten Benutzers zu verbinden: >>--user --machine=lennart@.host<<. Falls die >>@<<-Syntax nicht verwandt wird, wird die Verbindung als Benutzer >>root<< vorgenommen. Falls die >>@<<-Syntax verwandt wird, kann entweder die linke oder die rechte Seite fortgelassen werden (aber nicht beide). In diesem Fall wird der lokale Benutzername und >>.host<< angenommen. --no-pager Leitet die Ausgabe nicht an ein Textanzeigeprogramm weiter. --no-legend Gibt die Legende nicht aus, d.h. die Spaltenkopfe und die Fusszeile mit Hinweisen. --no-ask-password Befragt den Benutzer nicht fur Authentifizierung fur privilegierte Aktionen. -h, --help Zeigt einen kurzen Hilfetext an und beendet das Programm. --version Zeigt eine kurze Versionszeichenkette an und beendet das Programm. BENUTZERDATENSATZEIGENSCHAFTEN Die folgenden Optionen steuern verschiedene Eigenschaften der Benutzerdatensatze/Home-Verzeichnisse, die systemd-homed.service verwaltet. Diese Schalter konnen zusammen mit den Befehlen create und update zur Konfiguration verschiedener Aspekte des Home-Verzeichnisses und des Benutzerkontos verwandt werden: --real-name=NAME, -c NAME Der echte Name des Benutzers. Dies entspricht dem Feld GECOS in klassischen UNIX-NSS-Datensatzen. Hinzugefugt in Version 245. --realm=BEREICH Der Bereich des Benutzers. Der Bereich ordnet einen Benutzer einer bestimmten Organisation oder Installation zu und erlaubt es, Benutzer gleichen Namens zu unterscheiden, die in verschiedenen Kontexten definiert sind. Der Bereich kann jede Zeichenkette sein, die auch als gultiger DNS-Domain-Name funktioniert und es wird empfohlen, den Domain-Namen der Organisation oder Installation fur diesen Zweck zu verwenden, aber dies wird weder erzwungen noch ist es notwendig. Auf jedem System darf jeder Benutzername nur einmal vorkommen und falls ein Benutzer mit dem gleichen Namen und Bereich erkannt wird, wird angenommen, dass es sich um den gleichen Benutzer handelt, wahrend Benutzer mit dem gleichen Namen, aber anderen Bereichen als verschiedene Benutzer betrachtet werden. Beachten Sie, dass dies bedeutet, dass zwei Benutzer, die den gleichen Namen verwenden, aber unterschiedliche Bereiche haben, nicht auf dem gleichen System erlaubt sind. Die Zuweisung eines Bereiches zu einem Benutzer ist optional. Hinzugefugt in Version 245. --email-address=E-MAIL Akzeptiert eine dem Benutzer zugeordnete E-Mail-Adresse. Bei der Anmeldung wird die Umgebungsvariable $EMAIL aus diesem Wert initialisiert. Hinzugefugt in Version 245. --location=TEXT Akzeptiert eine Ortsangabe fur diesen Benutzer. Akzeptiert Freiformtext, der von geobasierten Anwendungen auswertbar sein kann, aber nicht muss. Beispiele: --location="Berlin, Deutschland" oder --location="Erdgeschoss, Raum 3a" Hinzugefugt in Version 245. --icon-name=ICON Akzeptiert den Namen eines dem Benutzer zugeordneten Icon. Der Name folgt dem durch Icon-Benennungs-Spezifikation[2] definierten Schema. Hinzugefugt in Version 245. --home-dir=PFAD, -dPFAD Akzeptiert einen Pfad, der als Home-Verzeichnis fur den Benutzer verwandt werden soll. Beachten Sie, dass dies der Pfad ist, auf den das Home-Verzeichnis des Benutzers eingehangt ist, wahrend der Benutzer angemeldet ist. Dies ist nicht der Ort, an dem die Daten des Benutzers tatsachlich gespeichert werden, siehe dafur --image-path=. Falls nicht angegeben, ist die Vorgabe /home/$USER. Hinzugefugt in Version 245. --uid=UID Akzeptiert eine bevorzugte numerische UNIX-UID, die diesem Benutzer zugeordnet werden soll. Falls ein Benutzer mit einer bestimmten UID erstellt werden soll und diese bereits von einem anderen Benutzer auf dem lokalen System verwandt wird, dann wird die Erstellung des Home-Verzeichnisses abgelehnt. Beachten Sie, dass systemd-homed dem Benutzer eine andere UID auf Systemen zuweisen kann, auf denen ein bereits existierendes Home-Verzeichnis verwandt wird, das dort nicht erstellt wurde und wo dort die UID bereits von einem zweiten Benutzer verwandt wird. Die angegebene UID muss ausserhalb des Bereichs fur Systembenutzer sein. Es wird empfohlen, den Bereich 6000160513 fur diesen Zweck zu verwenden. Falls nicht angegeben, wird die UID automatisch ausgewahlt. Wird bei der Anmeldung festgestellt, dass das Home-Verzeichnis einer anderen UID gehort, dann wird die Eigentumerschaft des Home-Verzeichnisses und allem darunter automatisch vor Abschluss der Anmeldung geandert. Beachten Sie, dass das Andern dieser Option fur bestehende Home-Verzeichnisse im Allgemeinen keine Auswirkung auf Home-Verzeichnisse hat, die bereits lokal registriert wurden (eine lokale Bindung haben), da die fur ein Konto auf dem lokalen System verwandte UID bestimmt wird, wenn das Home-Verzeichnis darauf erstmalig aktiviert wird und dann wirksam bleibt, bis das Home-Verzeichnis entfernt wird. Beachten Sie, dass durch systemd-homed verwaltete Benutzer immer eine ihnen zugeordnete passende Gruppe mit dem gleichen Namen sowie eine auf die UID passende GID haben werden. Daher ist die separate Konfiguration der GID nicht erlaubt. Hinzugefugt in Version 245. --member-of=GRUPPE, -G GRUPPE Akzeptiert eine Kommata-getrennte Liste von zusatzlichen UNIX-Gruppen, denen der Benutzer angehoren soll. Beispiel: --member-of=wheel, um den Benutzer mit administrativen Privilegien auszustatten. Beachten Sie, dass systemd-homed keine Gruppen ausserhalb der Gruppe, die auf den Benutzer (Name und numerische UID/GID) passt, verwaltet. Daher muss jede hier aufgefuhrte Gruppe unabhangig registriert werden, beispielsweise mit groupadd(8). Alle nicht existierende Gruppen werden ignoriert. Diese Option kann mehr als einmal angegeben werden, dann werden alle angegebenen Gruppen kombiniert. Falls der Benutzer derzeit Mitglied einer nicht aufgefuhrten Gruppe ist, dann wird der Benutzer von der Gruppe entfernt. Hinzugefugt in Version 245. --capability-bounding-set=CAPABILITYS, --capability-ambient-set=CAPABILITYS Diese Optionen akzeptieren eine durch Leerzeichen getrennte Liste von Prozess-Capabilitys (z.B. CAP_WAKE_ALARM, CAP_BLOCK_SUSPEND ), die in den Capability-Begrenzungs- und -Umgebungs-Mengen fur alle Benutzersitzungen gesetzt werden sollen. Siehe capabilities(7) fur Details zum Capability-Konzept. Diese Optionen konnen mehr als einmal verwandt werden, die angegebenen Listen werden dann kombiniert. Falls der Parameter mit einem >>~<<-Zeichen beginnt, ist die Auswirkung invertiert: die angegebene Capability wird aus der angegegebenen Menge entfernt. Hinzugefugt in Version 254. --skel=PFAD Akzeptiert einen Dateisystempfad zu einem Verzeichnis. Gibt das Verzeichnis mit dem Gerust an, aus dem das Home-Verzeichnis initialisiert werden soll. Alle Dateien und Verzeichnisse in dem angegebenen Pfad werden in das neu erstellte Home-Verzeichnis kopiert. Falls nicht angegeben, ist die Vorgabe /etc/skel/. Hinzugefugt in Version 245. --shell=SHELL Akzeptiert einen Dateisystempfad. Gibt das bei Terminal-Anmeldungen zu verwendende Shell-Programm an. Falls nicht angegeben, ist die Vorgabe /bin/bash. Hinzugefugt in Version 245. --setenv=VARIABLE[=WERT] Akzeptiert eine Umgebungsvariablenzuweisung, die fur alle Benutzerprozesse gesetzt werden soll. Kann mehrfach verwandt werden, um mehrere Umgebungsvariablen zu setzen. Wenn >>=<< und WERT nicht angegeben sind, wird der Wert der Variablen mit dem gleichen Namen in der Programmumgebung verwandt. Beachten Sie, dass eine Reihe von anderen Einstellungen auch zum Setzen von Umgebungsvariablen des Benutzers fuhren, einschliesslich --email=, --timezone= und --language=. Hinzugefugt in Version 245. --timezone=ZEITZONE Akzeptiert einen Zeitzonenortsnamen, der die Zeitzone fur den angegebenen Benutzer setzt. Die Umgebungsvariable $TZ wird bei der Anmeldung aus diesem Wert initialisiert. Beispiel: --timezone=Europe/Amsterdam fuhrt zu der Umgebungsvariablen >>TZ=:Europe/Amsterdam<<. (>>:<< wird bewusst als Teil der Zeitzonenangabe verwandt, siehe tzset(3).) Hinzugefugt in Version 245. --language=SPRACHE Akzeptiert einen Kennzeichner, der die bevorzugte Sprache des Benutzers anzeigt. Die Umgebungsvariable $LANG wird bei der Anmeldung aus diesem Wert initialisiert und daher wird hier ein Wert akzeptiert, der fur diese Umgebungsvariable geeignet ist, beispielsweise --language=de_DE.UTF8. Hinzugefugt in Version 245. --ssh-authorized-keys=SCHLUSSEL Akzeptiert entweder eine Zeile mit einem SSH-Autorisierungsschlussel, der mit dem Benutzerdatensatz verbunden werden soll, oder ein >>@<<-Zeichen, gefolgt von einem Pfad zu einer Datei, aus der eine oder mehrere solcher Zeilen ausgelesen werden sollen. Auf diese Weise konfigurierte SSH-Schlussel werden SSH zur Verfugung gestellt, um Zugriff auf dieses Home-Verzeichnis und diesen Benutzerdatensatz zu gewahren. Diese Option darf mehr als einmal angegeben werden, um mehrere SSH-Schlussel zu konfigurieren. Hinzugefugt in Version 245. --pkcs11-token-uri=URI Akzeptiert eine RFC-7512-PKCS#11-URI, die einen Sicherheits-Token referenziert (z.B. einen YubiKey oder eine PIV-SmartCard), der in der Lage sein soll, das Benutzerkonto zu entsperren. Die Sicherheits-Token-URI sollte einen Sicherheits-Token mit genau einem Paar aus X.509-Zertifikat und offentlichem Schlussel spezifizieren. Dann wird ein zufalliger geheimer Schlussel erstellt, mit dem offentlichen Schlussel des X.509-Zertifikates verschlusselt und als Teil des Benutzerdatensatzes gespeichert. Bei der Anmeldung wird er mit dem PKCS#11-Modul entschlusselt und dann zum Entsperren des Kontos und der zugehorigen Ressourcen verwandt. Weiter unten wird beschrieben, wie die Authentifizierung mit einem Sicherheits-Token eingerichtet wird. Statt einer gultigen PKCS#11-URI kann die besondere Zeichenkette >>list<< und >>auto<< angegeben werden. Falls >>list<< ubergeben ist, wird eine kurze Tabelle geeigneter, derzeit eingehangter PKCS#11-Hardware-Token zusammen mit ihren URIs angezeigt. Falls >>auto<< ubergeben ist, wird automatisch ein geeignetes PKCS#11-Token ausgewahlt (diese Aktion schlagt fehl, falls nicht genau ein geeignetes Hardware-Token ermittelt wird). Letztere Option ist als Abkurzung fur den haufigsten Anwendungsfall nutzlich, bei dem ein einzelnes PKCS#11-Hardware-Token eingesteckt ist. Beachten Sie, dass viele Hardware-Sicherheits-Token sowohl PKCS#11/PIV als auch FIDO2 mit der Erweiterung >>hmac-secret<< implementieren (beispielsweise die YubiKey-Serie), wie dies von der unten dargestellten Option --fido2-device= unterstutzt wird. Beide Mechanismen sind ahnlich leistungsfahig, obwohl FIDO2 die modernere Technik ist. PKCS#11/PIV-Token haben den Vorteil, dass sie vor der Authentifizierung erkannt und daher dafur verwandt werden konnen, die Identitat des Benutzer zur Anmeldung anzunehmen, was FIDO2 nicht ermoglicht. PKCS#11/PIV-Gerate benotigen im Allgemeinen eine Initialisierung (d.h. das Speichern eines privaten/offentlichen Schlusselpaars auf ihnen, siehe nachfolgendes Beispiel), bevor sie verwandt werden konnen; FIDO2-Sicherheits-Token benotigen dies im Allgemeinen nicht und funktionieren sofort. Hinzugefugt in Version 245. --fido2-credential-algorithm=ZEICHENKETTE Gibt den bei der Erstellung von Zugangsberechtigungen zu verwendenden COSE-Algorithmus an. Der Vorgabewert ist >>es256<<. Unterstutzte Werte sind >>es256<<, >>s256<< und >>eddsa<<. >>es256<< bezeichnet ECDSA uber NIST P-256 mit SHA-256. >>rs256<< bezeichnet 2048-bit RSA mit PKCS#1.5-Auffullung und SHA-256. >>eddsa<< bezeichnet EDDSA uber Curve25519 mit SHA-512. Beachten Sie, dass Ihr Authentikator nicht alle Algorithmen unterstutzen konnte. Hinzugefugt in Version 251. --fido2-device=PFAD Akzeptiert einen Pfad zu einem Linux->>hidraw<<-Gerat (z.B. /dev/hidraw1), der sich auf ein FIDO2-Sicherheits-Token bezieht, das die Erweiterung >>hmac-secret<< implementiert. Ein zufalliger Salt-Wert wird auf dem Rechner erstellt und an das FIDO2-Gerat ubergeben, welches den HMAC-Hash mittels eines internen geheimen Schlussel aus dem Salt berechnet. Das Ergebnis wird dann als Schlussel zum Entsperren des Benutzerkontos verwandt. Der zufallige Salt wird im Benutzerdatensatz aufgenommen, so dass er wieder an den FIDO2-Token ubergeben werden kann, wannimmer Authentifizierung benotigt wird. Statt eines einzelnen Pfades zu einem FIDO2->>hidraw<<-Gerat kann die besondere Zeichenkette >>list<< und >>auto<< angegeben werden. Falls >>list<< ubergeben ist, wird eine kurze Tabelle geeigneter erkannter FIDO2-Gerate angezeigt. Falls >>auto<< ubergeben ist, wird automatisch ein geeignetes FIDO2-Token ausgewahlt, falls genau ein geeignetes Hardware-Token ermittelt wird. Letztere Option ist als Abkurzung fur den haufigsten Anwendungsfall nutzlich, bei dem ein einzelnes FIDO2-Hardware-Token eingesteckt ist. Beachten Sie, dass FIDO2-Gerate, die fur die Option geeignet sind, die Erweiterung >>hmac-secret<< implementieren mussen. Die meisten aktuellen Gerate (wie die YubiKey-5-Serie) machen dies. Falls die Erweiterung nicht implementiert ist, kann das Gerat nicht zum Entsperren eines Home-Verzeichnisses verwandt werden. Das FIDO2-Gerat kann nachfolgend durch Setzen des Geratepfades auf die leere Zeichenkette entfernt werden (z.B. homectl update $USER --fido2-device=""). Beachten Sie, dass viele Hardware-Sicherheits-Token sowohl FIDO2 als auch PKCS#11/PIV implementieren (und daher mit entweder --fido2-device= oder --pkcs11-token-uri= verwandt werden konnen). Eine Diskussion finden Sie weiter oben. Hinzugefugt in Version 246. --fido2-with-client-pin=LOGISCH Steuert beim Registrieren eines FIDO2-Sicherheits-Tokens ob der Benutzer beim Entsperren des Kontos eine PIN eingeben muss (die FIDO2-Funktionalitat >>clientPin<<). Standardmassig >>yes<<. (Beachten Sie: Diese Einstellung ist wirkungslos, falls der Sicherheits-Token die Funktionalitat >>clientPin<< uberhaupt nicht unterstutzt oder das Aktivieren oder Deaktivieren nicht erlaubt.) Hinzugefugt in Version 249. --fido2-with-user-presence=LOGISCH Steuert beim Registrieren eines FIDO2-Sicherheits-Tokens ob der Benutzer beim Entsperren des Kontos seine Anwesenheit nachweisen muss (den Token beruhren, die FIDO2-Funktionalitat >>up<<). Standardmassig >>yes<<. (Beachten Sie: Diese Einstellung ist wirkungslos, falls der Sicherheits-Token die Funktionalitat >>up<< uberhaupt nicht unterstutzt oder das Aktivieren oder Deaktivieren nicht erlaubt.) Hinzugefugt in Version 249. --fido2-with-user-verification=LOGISCH Steuert beim Registrieren eines FIDO2-Sicherheits-Tokens ob Benutzeruberprufung beim Entsperren des Kontos verlangt wird (die FIDO2-Funktionalitat >>uv<<). Standardmassig >>no<<. (Beachten Sie: Diese Einstellung ist wirkungslos, falls der Sicherheits-Token die Funktionalitat >>uv<< uberhaupt nicht unterstutzt oder das Aktivieren oder Deaktivieren nicht erlaubt.) Hinzugefugt in Version 249. --recovery-key=LOGISCH Akzeptiert ein logisches Argument. Falls aktiviert, wird ein Wiederherstellungsschlussel fur dieses Konto konfiguriert. Ein Wiederherstellungsschlussel ist ein Computer-erstellter Zugangsschlussel, der dazu verwandt werden kann, wieder Zugriff auf ein Konto zu erlangen, falls das Passwort vergessen oder der Authentifizierungs-Token verloren wurde. Der Schlussel wird erstellt und am Bildschirm dargestellt und sollte ausgedruckt oder anderweitig an einen sicheren Ort transportiert werden. Ein Wiederherstellungsschlussel kann anstatt eines regularen Passworts eingegeben werden, um das Konto zu entsperren. Hinzugefugt in Version 247. --locked=LOGISCH Akzeptiert ein logisches Argument. Gibt an, ob dieses Benutzerkonto gesperrt sein soll. Falls wahr, werden Anmeldungen an diesem Konto verhindert, falls falsch (die Vorgabe), werden sie erlaubt (naturlich nur, falls die Autorisierung auch erfolgreich ist). Hinzugefugt in Version 245. --not-before=ZEITSTEMPEL, --not-after=ZEITSTEMPEL Diese Optionen akzeptieren eine Zeitstempelzeichenkette in dem in systemd.time(7) dokumentierten Format und konfigurieren Zeitpunkte, bevor denen oder nach denen Anmeldungen an diesem Konto nicht erlaubt sind. Hinzugefugt in Version 245. --rate-limit-interval=SEK, --rate-limit-burst=ANZAHL Konfiguriert fur diesen Benutzer eine Ratenbegrenzung fur Authentisierungsversuche. Falls der Benutzer versucht, sich auf dem bestimmten System in dem angegebenen Zeitinvervall haufiger als die angegebenen Anzahl zu authentifizieren, wird die Anmeldung abgelehnt, bis das Zeitintervall abgelaufen ist. Die Vorgabe ist 10 mal pro eine Minute. Hinzugefugt in Version 245. --password-hint=TEXT Akzeptiert einen Passworttipp, der zusammen mit dem Benutzerdatensatz gespeichert wird. Diese Zeichenkette ist so gespeichert, dass nur privilegierte Benutzer und der Benutzer selbst darauf zugreifen konnen. Andere Benutzer konnen sie nicht abfragen. Beispiel: --password-hint="Der Name meines ersten Haustieres". Hinzugefugt in Version 245. --enforce-password-policy=LOGISCH, -P Akzeptiert ein logisches Argument. Konfiguriert, ob die Passwortrichtlinie des Systems in Hinblick auf Qualitat und Starke des ausgewahlten Passworts fur diesen Benutzer erzwungen werden soll. Standardmassig ein. -P ist die Kurzform von ---enforce-password-policy=no. Hinzugefugt in Version 245. --password-change-now=LOGISCH Akzeptiert ein logisches Argument. Falls wahr, wird der Benutzer bei der nachsten Anmeldung gebeten, sein Passwort zu andern. Hinzugefugt in Version 245. --password-change-min=ZEIT, --password-change-max=ZEIT, --password-change-warn=ZEIT, --password-change-inactive=ZEIT Jede dieser Optionen akzeptiert eine Zeitdauerspezifikation als Argument (in dem in systemd.time(7) definierten Format) und konfiguriert verschiedene Aspekte der Passwortablaufrichtlinie des Benutzers. Insbesondere konfiguriert --password-change-min=, wieviel Zeit vergehen muss, nachdem das Passwort geandert wurde, bevor es erneut geandert werden darf. Falls der Benutzer versucht, sein Passwort vor Ablauf dieser Zeit zu andern, wird dieser Versuch abgelehnt. --password-change-max= konfiguriert, wie schnell nach der Anderung des Passworts dieses ablauft und wieder geandert werden muss. Nach dieser Zeit kann eine Anmeldung nur fortfahren, nachdem das Passwort geandert worden ist. --password-change-warn= konfiguriert, wie viel fruher als die mit --password-change-max= konfigurierte Zeit der Benutzer beim Anmelden gewarnt wird, sein Passwort zu andern, da es bald ablaufen wird. Schliesslich konfiguriert --password-change-inactive= die Zeit, die ablaufen muss, nachdem das Passwort abgelaufen ist, bis der Benutzer sich nicht mehr anmelden oder sein Passwort andern darf. Beachten Sie, dass diese Optionen nur die Passwortauthentifizierung und nicht andere Formen der Authentifizierungen, wie beispielsweise PKCS#11-basierte Authentifizierung mit Sicherheitstoken, betreffen. Hinzugefugt in Version 245. --disk-size=BYTE Akzeptiert entweder eine Grosse in Byte als Argument (moglicherweise einschliesslich der gewohnlichen Endungen K, M, G fur 1024-basierte Werte), einen Prozentwert oder die besonderen Zeichenketten >>min<< oder >>max<< und konfiguriert den dem Benutzer zuzuweisenden Plattenplatz. Falls ein Prozentwert angegeben ist (d.h. dem Argument wird >>%<< angehangt), wird dieser relativ zum verfugbaren Plattenplatz des zugrundeliegenden Dateisystems betrachtet. Falls als >>min<< angegeben, dann weist es den minimalen Plattenplatz zu, der durch die Randbedingungen des zugrundeliegenden Dateisystems und anderer Beschrankungen erlaubt ist. Falls als >>max<< angegeben, weist es den maximal verfugbaren Plattenplatz zu. Falls das LUKS2-Backend verwandt wird, konfiguriert dies die Grosse der Loopback-Datei und des darin enthaltenen Dateisystems. Fur andere Speicher-Backends konfiguriert dies Plattenkontingente mittels der nativen Kontingent-Logik des Dateisystems, falls verfugbar. Falls nicht angegeben, standardmassig 85% des verfugbaren Plattenplatzes fur das LUKS2-Backend und auf keine Kontingente fur die anderen. Hinzugefugt in Version 245. --access-mode=MODUS Akzeptiert einen oktal geschriebenen UNIX-Zugriffsmodus. Konfiguriert den Zugriffsmodus des Home-Verzeichnisses selbst. Beachten Sie, dass dies nur beim erstmaligen Anlegen des Home-Verzeichnisses verwandt wird und der Benutzer dieses nachtraglich jederzeit andern kann. Beispiel: --access-mode=0700 Hinzugefugt in Version 245. --umask=MASKE Akzeptiert die Zugriffsmodusmaske (in oktaler Syntax), die auf neu erstellte Dateien und Verzeichnisse des Benutzers angewandt werden soll (die >>umask<<). Falls dies gesetzt ist, steuert dies die anfangliche Umask, die fur alle Anmeldesitzungen des Benutzers verwandt wird und die moglicherweise die Vorgaben des Systems ausser Kraft setzt. Hinzugefugt in Version 245. --nice=NICE Akzeptiert die numerische Zeitplanungsprioritat (>>Nice-Stufe<<), die auf Prozesse des Benutzers zum Anmeldezeitpunkt angewandt werden soll. Akzeptiert einen numerischen Wert im Bereich -20 (hochste Prioritat) bis 19 (niedrigste Prioritat). Hinzugefugt in Version 245. --rlimit=BEGRENZUNG=WERT[:WERT] Erlaubt die Konfiguration von Ressourcenbeschrankungen fur Prozesse dieses Benutzers, siehe getrlimit(2) fur Details. Akzeptiert einen Ressourcenbeschrankungsnamen (z.B. >>LIMIT_NOFILE<<), gefolgt von einem Gleichheitszeichen, gefolgt von einer numerischen Beschrankung. Optional kann ein zweiter, durch einen Doppelpunkt abgetrennter numerischer Beschrankungswert angegeben werden. Falls zwei angegeben sind, beziehen sich diese auf die weichen bzw. harten Beschrankungen. Falls nur eine Beschrankung angegeben ist, setzt diese Einstellung beide Beschrankungen auf einmal. Hinzugefugt in Version 245. --tasks-max=PROZESSE Akzeptiert eine von 0 verschiedene Ganzzahl als Argument. Konfiguriert die maximale Anzahl an Threads (hierbei ist jeder Prozess mindestens ein Thread), die der Benutzer zu einem Zeitpunkt haben darf. Diese Begrenzung gilt fur alle Prozesse, die mit Fork von der Benutzersitzung abstammen, selbst wenn sie die Benutzeridentitat mit su(1) oder ahnlichen Werkzeugen andern. Verwenden Sie --rlimit=LIMIT_NPROC=, um eine Beschrankung fur die Anzahl der tatsachlich unter der UID des Benutzers laufenden Prozesse zu setzen, wobei damit die Kindprozesse, die ihre Identitat geandert haben konnten, ausgeschlossen werden. Dies steuert die Einstellung TasksMax= der benutzerbezogenen Systemd-Scheiben-Unit user-$UID.slice. Siehe systemd.resource-control(5) fur weitere Details. Hinzugefugt in Version 245. --memory-high=BYTE, --memory-max=BYTE Setzt eine Begrenzung fur den Speicher, den ein Benutzer zu einem Zeitpunkt auf einem System verwenden darf, in Byte (die gewohnlichen Endungen K, M, G zur Basis 1024 werden unterstutzt). Dies schliesst samtlichen Speicher ein, der vom Benutzer verwandt wird, sowie den aller Prozesse, die unter den Benutzerberechtigungen dieses Benutzer mit Fork gestartet wurden. Dies steuert die Einstellungen MemoryHigh= und MemoryMax= der benutzerbezogenen Systemd-Scheiben-Unit user-$UID.slice. Siehe systemd.resource-control(5) fur weitere Details. Hinzugefugt in Version 245. --cpu-weight=GEWICHT, --io-weight=GEWICHT Setzt CPU- und E/A-Scheduling-Gewichte fur die Prozesse des Benutzers, einschliesslich der mit Fork gestarteten Prozesse des Benutzers, die die Benutzerberechtigungen geandert haben. Akzeptiert einen numerischen Wert im Bereich 110000. Dies steuert die Einstellungen CPUWeight= und IOWeight= der benutzerbezogenen Systemd-Scheiben-Unit user-$UID.slice. Siehe systemd.resource-control(5) fur weitere Details. Hinzugefugt in Version 245. --storage=SPEICHER Wahlt den fur dieses Home-Verzeichnis zu verwendenden Speichermechanismus aus. Akzeptiert entweder >>luks<<, >>fscrypt<<, >>directory<<, >>subvolume<< oder >>cifs<<. Details uber diese Mechanismen sind weiter oben beschrieben. Falls ein neues Home-Verzeichnis erstellt wird und der Speichertyp nicht besonders angegeben ist, dann definiert homed.conf(5), welcher Speichermechanismus standardmassig zu benutzen ist. Hinzugefugt in Version 245. --image-path=PFAD Akzeptiert ein Dateisystempfad. Konfiguriert, wo das Home-Verzeichnis des Benutzers abgelegt werden soll. Falls LUKS2-Speicherung gewahlt wird, bezieht sich dies auf den Pfad zur Loopback-Datei, andernfalls auf den Pfad zum Home-Verzeichnis (das sich in /home/ oder einem anderweitig zugreifbaren Dateisystem befinden kann). Falls nicht angegeben, ist die Vorgabe /home/$USER.home beim Einsatz des LUKS-Speichermechanismus und /home/$USER.homedir fur alle anderen Speichermechanismen. Fur den Speichermechanisums >>cifs<< ist er nicht definiert. Um den LUKS2-Speichermechanismus auf einem regularen Blockgerat zu verwenden (beispielsweise einem USB-Stick), ubergeben Sie hier den Pfad zu dem Blockgerat. Es ist nicht erlaubt, hier den Pfad zu einem Verzeichnis anzugeben, wenn ein LUKS2-Speicher verwandt wird. Entsprechend ist die Angabe zu einer normalen Datei oder einem Gerateknoten nicht erlaubt, falls eines der anderen Speicher-Backends verwandt wird. Hinzugefugt in Version 245. --drop-caches=LOGISCH Schreibt beim Abmelden automatisch die Betriebssystem-Dateizwischenspeicher raus. Dies ist in Kombination mit dem fscrypt-Speicher-Backend nutzlich, um sicherzustellen, dass das Betriebssystem nach dem Abmelden keine entschlusselten Versionen der Dateien und Verzeichnisse im Speicher (und zugreifbar) behalt. Diese Option wird auch auf anderen Backends unterstutzt, sollte dort aber keinen Vorteil bringen. Standardmassig >>off<<, ausser falls das ausgewahlte Speicher-Backend fscrypt ist, wo es standardmassig eingeschaltet ist. Beachten Sie, dass das Rausschreiben von Betriebssystemzwischenspeichern die Leistung des Betriebssystems kurz nach dem Abmelden negativ beeinflusst. Hinzugefugt in Version 250. --fs-type=TYP Wird der LUKS2-Speichermechanismus verwandt, konfiguriert dies den Dateisystemtyp, der im Home-Verzeichnis des LUKS2-Containers verwandt werden soll. Entweder >>btrfs<<, >>ext4<< oder >>xfs<<. Falls nicht angegeben, definiert homed.conf(5), welcher Dateisystemtyp standardmassig zu benutzen ist. Beachten Sie, dass der Einsatz von >>xfs<< nicht empfohlen wird, da dessen Unterstutzung fur die Grossenveranderung des Dateisystems zu eingeschrankt ist. Hinzugefugt in Version 245. --luks-discard=LOGISCH Wird der LUKS2-Speichermechanismus verwandt, konfiguriert dies, ob die Funktionalitat >>discard<< des Dateisystems aktiviert wird. Falls aktiviert, wird das Dateisystem, welches sich innerhalb des LUKS2-Datentragers befindet, Informationen uber leere Blocke an das draunterliegende LUKS2 und das Loopback-Gerat melden, um sicherzustellen, dass leerer Platz im Home-Verzeichnis wieder an das zugrundeliegende Dateisystem unterhalb des LUK2-Laufwerks zuruckgegeben wird, wodurch eine >>sparliche<< Loopback-Datei erhalten wird. Diese Option ist grosstenteils standarmassig aus, da dieses ermoglicht, mehr Platz als vorhanden in Home-Verzeichnissen zu ubergeben, wodurch E/A-Fehler resultieren, falls das zugrundeliegende Dateisystem voll wird wahrend das obere Dateisystem einen weiteren Block belegen mochte. Mit solchen E/A-Fehlern konnen im Allgemeinen weder das Dateisystem noch die Anwendungen gut umgehen. Wird der LUKS2-Speichermechanismus auf einem regularen Blockgerat (anstatt auf einer Loopback-Datei) verwandt, dann ist die >>discard<<-Logik standardmassig an. Hinzugefugt in Version 245. --luks-offline-discard=LOGISCH Steuert ahnlich zu --luks-discard= das Abschneiden des Dateisystems. Wahrend allerdings --luks-discard= steuert, was passiert, wenn das Home-Verzeichnis aktiv ist, steuert --luks-offline-discard=, was passiert, wenn es inaktiv wird, d.h. ob der Speicher abgeschnitten/zugewiesen werden soll, wenn das Home-Verzeichnis deaktiviert wird. Diese Option ist standardmassig eingeschaltet, um sicherzustellen, dass der Speicherplatz minimiert ist, wenn der Benutzer nicht angemeldet ist. Hinzugefugt in Version 246. --luks-extra-mount-options=OPTIONEN Akzeptiert eine Zeichenkette, die zusatzliche Einhangeoptionen enthalt, die beim Einhangen des LUKS-Datentragers verwandt werden sollen. Falls angegeben, wird diese Zeichenkette an die vorgegebenen, eingebauten Einhangeoptionen angehangt. Hinzugefugt in Version 250. --luks-cipher=CHIFFRE, --luks-cipher-mode=MODUS, --luks-volume-key-size=BYTE, --luks-pbkdf-type=TYP, --luks-pbkdf-hash-algorithm=ALGORITHMUS, --luks-pbkdf-force-iterations=ITERATIONEN, --luks-pbkdf-time-cost=SEKUNDEN, --luks-pbkdf-memory-cost=BYTE, --luks-pbkdf-parallel-threads=THREADS, --luks-sector-size=BYTE Konfiguriert verschiedene kryptographische Parameter fur den LUKS2-Speichermechanismus. Siehe cryptsetup(8) fur Details uber die einzelnen Attribute. Beachten Sie, dass homectl wie /proc/crypto die Schlusselgrosse in Byte verwendet, aber cryptsetup(8) Bit verwendet. Hinzugefugt in Version 245. --auto-resize-mode= Konfiguriert, ob das zugrundeliegende Dateisystem beim An- und Abmelden automatisch vergrossert und/oder verkleinert werden soll. Akzeptiert eine der Zeichenketten >>off<<, >>grow<< und >>shrink-and-grow<<. Wird derzeit nur beim LUKS2-Backend angewandt und falls das Btrfs-Dateisystem innerhalb verwandt wird (da nur dann das online-vergrossern/verkleinern des Dateisystems unterstutzt wird). Standardmassig >>shrink-and-grow<<, falls LUKS2/btrfs verwandt wird, andernfalls >>off<<. Falls auf >>off<< gesetzt, erfolgt kein automatisches verkleinern/vergrossern wahrend des An- und Abmeldens. Falls auf >>grow<< gesetzt, wird der Home-Bereich auf die mittels --disk-size= konfigurierte Grosse vergrossert, falls er derzeit kleiner sein sollte. Falls er bereits auf die konfigurierte Grosse passt oder grosser ist, erfolgt keine Aktion. Falls auf >>shrink-and-grow<< gesetzt, wird der Home-Bereich beim Abmelden auch auf die minimale Grosse verkleinert, die der verwandte Plattenplatz und die Dateisystembeschrankungen erlauben. Dieser Modus stellt daher sicher, dass der Home-Bereich wahrend der Aktivierung auf die konfigurierte Grosse vergrossert wird, aber im deaktivierten Zustand nur den minimal-moglichen Platz belegt. Beachten Sie, dass die Verkleinerungsaktion nicht stattfindet, falls das System irregular ausgeschaltet wird oder sich der Benutzer anderweitig nicht korrekt abmeldet und sich der Benutzer erneut an- und wieder abmelden muss, bevor diese Aktion erneut ausgefuhrt wird. Hinzugefugt in Version 250. --rebalance-weight= Konfiguriert den Gewichtungsparameter fur die Neuauswuchtungslogik fur freien Plattenplatz. Wird derzeit nur beim LUKS2-Backend angewandt (da fur das LUS2-Backend der Plattenplatz aus einem benutzerbezogenen Loopback-Dateisystem zugewiesen wird, statt sofort aus einem gemeinsamen Vorrat, wie dies die anderen Backends machen). In regelmassigen Abstanden wird freier Plattenplatz in den aktiven Home-Bereichen und ihren zugrundeligenden Speichern neu zwischen ihnen verteilt, wobei der hier konfigurierte Gewichtungsparameter berucksichtigt wird. Erwartet eine Ganzzahl im Bereich 110000 oder die besondere Zeichenkette >>off<<. Falls nicht angegeben, ist die Vorgabe 100. Die Gewichtung wird verwandt, um den Home-Bereichen verfugbar gemachten freien Platz zu skalieren: ein Home-Bereich mit einer Gewichtung 200 wird doppelt so viel freien Platz erhalten wie einer mit einer Gewichtung von 100; ein Home-Bereich mit einer Gewichtung von 50 wird die Halfte davon bekommen. Dem zugrundeliegende Dateisystem wird Platz fur eine Gewichtung von 20 zugewiesen werden. Falls auf >>off<< gesetzt, wird keine automatische Verteilung von freiem Platz fur diesen Home-Bereich durchgefuhrt. Beachten Sie, dass die explizite Grossenveranderung des Home-Bereichs (mit homectl resize, siehe unten) implizit die automatische Auswuchtung ausschaltet. Um die automatische Auswuchtung wieder zu aktivieren, verwenden Sie --rebalance-weight= mit einem leeren Parameter. Hinzugefugt in Version 250. --nosuid=LOGISCH, --nodev=LOGISCH, --noexec=LOGISCH Konfiguriert die Einhangeoptionen >>nosuid<<, >>nodev<< und >>noexec<< fur Home-Verzeichnisse. Standardmassig sind >>nodev<< und >>nosuid<< eingeschaltet, wahrend >>noexec<< ausgeschaltet ist. Fur Details uber diese Einhangeoptionen siehe mount(8). Hinzugefugt in Version 245. --cifs-domain=DOMANE, --cifs-user-name=BENUTZER, --cifs-service=DIENST, --cifs-extra-mount-options=OPTIONEN Konfiguriert die >>Windows File Sharing<<- (CIFS-)Domane und Benutzer, die diesem Home-Verzeichnis/Benutzerkonto zugeordneten werden sollen, sowie die Dateifreigabe (der >>Dienst<<), die als Verzeichnis eingehangt werden soll. Letzteres wird verwandt, wenn >>cifs<<-Speicher ausgewahlt wird. Die Dateifreigabe sollte im Format >>//Rechner/Freigabe/Verzeichnis/ angegeben werden. Der Verzeichnis-Anteil ist optional - falls er nicht angegeben ist, wird das Home-Verzeichnis auf der obersten Verzeichnisebene der Freigabe abgelegt. Die Einstellung --cifs-extra-mount-options= ermoglicht die Angabe zusatzlicher Einhangeoptionen beim Einhangen der Freigabe, siehe mount.cifs(8) fur Details. Hinzugefugt in Version 245. --stop-delay=SEK Konfiguriert die Zeit, die der benutzerbezogene Diensteverwalter weiterlaufen soll, nachdem alle Sitzungen des Benutzers beendet wurden. Die Vorgabe wird in logind.conf(5) konfiguriert (fur Home-Verzeichnisse auf Wechselmedien mit LUKS2-Speichermechanismen ist die Vorgabe allerdings 0). Eine langere Zeit stellt sicher, dass schnelle, wiederholte Anmeldungen effizienter erfolgen, da der Diensteverwalter des Benutzer nicht jedes Mal gestartet werden muss. Hinzugefugt in Version 245. --kill-processes=LOGISCH Konfiguriert, ob beim Abmelden des Benutzers alle seine Prozesse getotet werden sollen. Die Vorgabe wird in logind.conf(5) konfiguriert. Hinzugefugt in Version 245. --auto-login=LOGISCH Akzeptiert ein logisches Argument. Konfiguriert, ob die graphische Benutzerschnittstelle des Systems diesen Benutzer, falls moglich, automatisch anmelden soll. Standardmassig aus. Falls mehr oder weniger als ein Benutzer auf diese Art markiert sind, dann ist die automatische Anmeldung deaktiviert. Hinzugefugt in Version 245. BEFEHLE Die folgenden Befehle werden verstanden: list Listet alle Home-Verzeichnisse (zusammen mit knappen Details) auf, die derzeit von systemd-homed.service verwaltet werden. Dieser Befehl wird auch ausgefuhrt, falls kein Befehl auf der Befehlszeile angegeben ist. (Beachten Sie, dass die Liste der von diesem Befehl angezeigten Benutzer nicht die von anderen Untersystemen verwalteten Benutzer einschliesst, wie beispielsweise Systembenutzer oder Benutzer, die in /etc/passwd aufgefuhrt sind.) Hinzugefugt in Version 245. activate BENUTZER [BENUTZER] Aktiviert eines oder mehrere Home-Verzeichnisse. Das Home-Verzeichnis jedes aufgefuhrten Benutzers wird aktiviert und unter seinem Einhangepunkt (normalerweise /home/$USER) verfugbar gemacht. Beachten Sie, dass alle auf diese Art aktivierten Home-Verzeichnisse solange verfugbar bleiben, bis sie explizit deaktiviert werden (mit deactivate, siehe unten) oder der Benutzer sich anmeldet und wieder abmeldet und es daher aufgrund der Deaktivieren-beim-Abmelden-Logik deaktiviert wird. Die Aktivierung eines Home-Verzeichnisses umfasst verschiedene Aktionen, die abhangig vom ausgewahlten Speichermechanismus sind. Falls der LUKS2-Mechanismus verwandt wird, umfasst dies Folgendes: Abfragen des Benutzers nach einem Passwort, Einrichten des Loopback-Gerates, Uberprufen und Aktivieren des LUKS2-Datentragers, Uberprufen des Dateisystems, Einhangen des Dateisystems und moglicherweise Andern der Eigentumerschaft der enthaltenen Dateien, um die UID/GID zu korrigieren. Hinzugefugt in Version 245. deactivate BENUTZER [BENUTZER] Deaktiviert eines oder mehrere Home-Verzeichnisse. Dies macht die Wirkung von activate ruckgangig. Hinzugefugt in Version 245. inspect BENUTZER [BENUTZER] Zeigt verschiedene Details uber das angegebene Home-Verzeichnis. Dies zeigt verschiedene Informationen uber das Home-Verzeichnis und sein Benutzerkonto, einschliesslich Laufzeitdaten wie den aktuellen Zustand, den Plattenverbrauch und Ahnlichem. Kombinieren Sie dies mit --json=, um stattdessen den detaillierten JSON-Benutzerdatensatz anzuzeigen, moglicherweise kombiniert mit --export-format=, um bestimmte Aspekte der Ausgabe zu unterdrucken. Hinzugefugt in Version 245. authenticate BENUTZER [BENUTZER] Uberpruft die Authentifizierungs-Anmeldedaten eines Home-Verzeichnisses. Dies fragt beim Aufrufenden nach einem Passwort (oder Ahnlichem) und uberpruft, ob dieses das Home-Verzeichnis korrekt entsperrt. Dies belasst das Home-Verzeichnis in dem aktuellen Zustand, d.h. es belasst das Home-Verzeichnis im inaktiven Zustand, falls es vorher inaktiv war, und im aktiven Zustand, falls es vorher aktiv war. Hinzugefugt in Version 245. create BENUTZER, create --identity=PFAD [BENUTZER] Erstellt ein neues Home-Verzeichnis/Benutzerkonto mit dem angegebenen Namen. Verwenden Sie die verschiedenen Optionen fur Benutzerdatensatzeigenschaften (wie oben beschrieben), um die verschiedenen Aspekte des Home-Verzeichnisses und seines Benutzerkontos zu steuern. Der angegebene Name sollte der in Benutzer-/Gruppen-Namensyntax[3] beschriebenen Namenssyntax folgen. Hinzugefugt in Version 245. remove BENUTZER Entfernt ein Home-Verzeichnis/Benutzerkonto. Dies entfernt sowohl den Benutzerdatensatz des Home-Verzeichnisses als auch das Home-Verzeichnis selbst und loscht alle Dateien und Verzeichnisse, die dem Benutzer gehoren. Hinzugefugt in Version 245. update BENUTZER, update --identity=PFAD [BENUTZER] Aktualisiert ein Home-Verzeichnis/Benutzerkonto. Verwenden Sie verschiedene Optionen fur Benutzerdatensatzeigenschaften (wie oben beschrieben), um Anderungen am Konto vorzunehmen, oder stellen Sie alternativ einen vollstandigen, aktualisierten JSON-Benutzerdatensatz mit der Option --identity= bereit. Beachten Sie, dass Anderungen an Benutzerdatensatzen, die nicht mit dem lokal verfugbaren privaten Schlussel signiert sind, nicht erlaubt sind, ausser --identity= wird mit einem Benutzerdatensatz verwandt, der bereits korrekt durch einen anerkannten privaten Schlussel signiert ist. Hinzugefugt in Version 245. passwd BENUTZER Andert das Passwort des angegebenen Home-Verzeichnisses/Benutzerkontos. Hinzugefugt in Version 245. resize BENUTZER BYTE Andert den Plattenplatz, der dem angegebenen Home-Verzeichnis zugeordnet ist. Falls der LUKS2-Speichermechanismus verwandt wird, wird die Grosse der Loopback-Datei und des darin enthaltenen Dateisystems automatisch geandert. Beachten Sie, dass es notwendig ist, das Home-Verzeichnis zu deaktivieren (d.h. der Benutzer muss sich abmelden), falls das Dateisystem >>ext4<< innerhalb des LUKS2-Datentragers verwandt wird und die Grosse verringert wird. Vergrossern kann erfolgen, wahrend das Home-Verzeichnis aktiv ist. Falls >>xfs<< innerhalb des LUKS2-Datentragers verwandt wird, kann das Home-Verzeichnis uberhaupt nicht verkleinert werden. Bei allen drei Dateisystemen (>>ext4<<, >>xfs<< und >>btrfs<<) kann das Home-Verzeichnis vergrossert werden, wahrend der Benutzer angemeldet ist, bei >>btrfs<< kann es auch verkleinert werden, wahrend der Benutzer angemeldet ist. Falls die Speichermechanismen >>subvolume<<, >>directory<< oder >>fscrypt<< verwandt werden, berucksichtigt die Grossenanderung auch Dateisystemkontingente. Der Grossenparameter kann die normalen Endungen B, K, M, G, T (zur Basis 1024) verwenden. Die besonderen Zeichenketten >>min<< und >>max<< konnen an Stelle eines numerischen Grossenwertes verwandt weden, um den fur den Home-Bereich zugewiesenen Plattenplatz zu minimieren oder zu maximieren, wobei die Randbedingungen des Dateisystems, der Plattenverwendung innerhalb des Home-Bereichs und des zugrundeligenden Speichersystems berucksichtigt werden. Hinzugefugt in Version 245. lock BENUTZER Suspendiert temporar den Zugriff auf das Home-Verzeichnis des Benutzers und entfernt alle zugehorigen kryptographischen Schlussel aus dem Speicher. Jeder Zugriffsversuch auf das Home-Verzeichnis wird hangen, bis das Home-Verzeichnis wieder entsperrt (d.h. reauthentifiziert) wird. Diese Funktionalitat ist primar fur den Einsatz bei der Systemsuspendierung gedacht, um sicherzustellen, dass auf die Benutzerdaten nicht mehr zugegriffen werden kann, bis der Benutzer sich nach dem Wiederaufwachen erneut authentifiziert hat. Diese Aktion ist nur fur Home-Verzeichnisse definiert, die den LUKS2-Speichermechanismus verwenden. Hinzugefugt in Version 245. unlock BENUTZER Nimmt den Zugriff auf das Home-Verzeichnis des Benutzers wieder auf; macht damit die Wirkung von lock (siehe oben) ruckgangig. Hierfur muss sich der Benutzer authentifizieren, da die kryptographischen Schlussel, die fur den Zugriff auf das Home-Verzeichnis benotigt werden, erneut erlangt werden mussen. Hinzugefugt in Version 245. lock-all Fuhrt den Befehl lock auf allen geeigneten Home-Verzeichnissen auf einmal aus. Diese Aktion wird im Allgemeinen bei der Systemsuspendierung ausgefuhrt (d.h. durch systemctl suspend und zugehorige Befehle), um sicherzustellen, dass die kryptographischen Schlussel fur den Zugriff auf die Home-Verzeichnisse aus dem Speicher entfernt werden. Hinzugefugt in Version 245. deactivate-all Fuhrt den Befehl deactivate auf allen aktiven Home-Verzeichnissen auf einmal aus. Diese Aktion wird im Allgemeinen bei dem Herunterfahren des Systems ausgefuhrt (d.h. durch systemctl poweroff und zugehorige Befehle), um sicherzustellen, dass die Home-Verzeichnisse aller aktiven Benutzer vollstandig deaktiviert werden, bevor /home/ und zugehorige Dateisysteme ausgehangt werden. Hinzugefugt in Version 247. with BENUTZER BEFEHL Aktiviert das Home-Verzeichnis des angegebenen Benutzers, fuhrt den angegebenen Befehl aus (unter der Identitat des Aufrufenden, nicht des Benutzers) und deaktiviert das Home-Verzeichnis anschliessend wieder (ausser der Benutzer ist anderweitig angemeldet). Dieser Befehl ist zur Ausfuhrung privilegierter Sicherungsskripte und Ahnlichem nutzlich, verlangt aber die Authentifizierung mit den Anmeldedaten des Benutzers, um in der Lage zu sein, das Home-Verzeichnis des Benutzers zu entsperren. Hinzugefugt in Version 245. rebalance Freien Plattenplatz zwischen aktiven Home-Bereichen und dem zugrundeliegenden Speicher auswuchten. Siehe vorangehende Option --rebalance-weight=. Dies fuhrt keine Aktion aus, ausser es gibt mindestens einen aktiven LUKS2-Home-Bereich, bei dem das Auswuchten von Plattenplatz aktiviert ist. Diese Aktion ist synchron: sie wird nur abschliessen, nachdem der Plattenplatz gemass der Auswuchtungs-Gewichtungswerte ausgewuchtet wurde. Beachten Sie, dass das Auswuchten auch im Hintergund in regelmassigen Abstanden automatisch erfolgt. Verwenden Sie diesen Befehl, um synchron sicherzustellen, dass der Plattenplatz geeignet neu verteilt wird, bevor Sie eine Aktion anstossen, die grosse Mengen an Plattenplatz benotigt. Hinzugefugt in Version 250. EXIT-STATUS Bei Erfolg wird 0 zuruckgegeben, anderenfalls ein Fehlercode ungleich Null. Wird ein Befehl mit with aufgerufen, dann wird der Exit-Status des Kindprozesses weitergeleitet. Insgesamt beendet sich homectl ohne Fehler, falls der Befehl erfolgreich aufgerufen wurde und sich erfolgreich beendete. UMGEBUNGSVARIABLEN $SYSTEMD_LOG_LEVEL Die maximale Protokollierstufe ausgesandter Nachrichten (Nachrichten mit einer hoheren Protokollierstufe, d.h. weniger wichtige, werden unterdruckt). Sie muss (in absteigender Reihenfolge) entweder alert, crit, err, warning, notice, info, debug oder eine Ganzzahl im Bereich 07 sein. Siehe syslog(3) fur weitere Informationen. $SYSTEMD_LOG_COLOR Ein logischer Wert. Falls wahr, werden auf das TTY geschriebene Nachrichten gemass ihrer Prioritat eingefarbt. Diese Einstellung ist nur nutzlich, falls die Nachrichten direkt auf das Terminal geschrieben werden, da journalctl(1) und andere Werkzeuge, die Protokolle anzeigen, selbstandig Nachrichten gemass ihrer Protokollierungsstufe einfarben. $SYSTEMD_LOG_TIME Ein logischer Wert. Falls wahr, wird den Protokollnachrichten der Konsole ein Zeitstempel vorangestellt. Diese Einstellung ist nur nutzlich, falls die Nachrichten direkt auf das Terminal oder in eine Datei geschrieben werden, da journalctl(1) und andere Werkzeuge, die Protokolle anzeigen, selbstandig Zeitstempel basierend auf ihren Metadaten den Nachrichten anhangen werden. $SYSTEMD_LOG_LOCATION Ein logischer Wert. Falls wahr, wird den Protokollnachrichten ein Dateinamen und eine Zeilenummer in dem Quellcode, aus dem die Nachrichten stammen, vorangestellt. Beachten Sie, dass der Protokollierort sowieso oft als Metadaten zu den Journal-Eintragen angehangt ist. Die Aufnahme in den Nachrichtentext kann bei der Fehlersuche in Programmen dennoch praktisch sein. $SYSTEMD_LOG_TID Ein logischer Wert. Falls wahr, wird den Nachrichten die aktuelle numerische Thread-Kennung (TID) vorangestellt. Beachten Sie, dass diese Informationen sowieso als Metadaten an Journal-Eintrage angehangt wird. Die Aufnahme direkt im Nachrichtentext kann aber trotzdem bei der Fehlersuche in Programmen praktisch sein. $SYSTEMD_LOG_TARGET Das Ziel fur Protokolliernachrichten. Entweder console (auf das angehangte TTY protokollieren), console-prefixed (auf das angehangte TTY protokollieren, aber die Protokollierstufe und >>Einrichtung<< voranstellen, siehe syslog(3)), kmsg (in den zirkularen Kernel-Protokollpuffer protokollieren), journal (in das Journal protokollieren (journal-or-kmsg (in das Journal protokollieren, falls verfugbar, und andernfalls nach Kmsg), auto (das geeignete Protokollierziel automatisch ermitteln, die Vorgabe) oder null (die Protokollierung deaktivieren). $SYSTEMD_LOG_RATELIMIT_KMSG Ob Kmsg ratenlimitiert werden soll oder nicht. Akzeptiert einen logischen Wert. Standardmassig >>true<<. Falls deaktiviert, wird Systemd die nach Kmsg geschriebenen Meldungen nicht ratenlimitieren. $SYSTEMD_PAGER Zu verwendendes Textanzeigeprogramm, wenn --no-pager nicht angegeben ist; setzt $PAGER ausser Kraft. Falls weder $SYSTEMD_PAGER noch $PAGER gesetzt sind, wird eine Reihe wohlbekannter Implementierungen von Textanzeigeprogrammen der Reihe nach ausprobiert, einschliesslich less(1) und more(1), bis eines gefunden wird. Falls keine Implementierung eines Textanzeigeprogramms gefunden wird, wird keines aufgerufen. Setzen der Umgebungsvariablen auf die leere Zeichenkette oder den Wert >>cat<< ist aquivalent zur Ubergabe von --no-pager. Beachten Sie: Falls $SYSTEMD_PAGERSECURE nicht gesetzt ist, dann wird $SYSTEMD_PAGER (sowie $PAGER) ohne Ruckmeldung ignoriert. $SYSTEMD_LESS Setzt die an less ubergebenen Optionen (standardmassig >>FRSXMK<<) ausser Kraft. Benutzer konnten insbesondere zwei Optionen andern wollen: K Diese Option weist das Textanzeigeprogramm an, sich sofort beim Druck von Strg-C zu beenden. Um less die Handhabung von Strg-C selbst zum Umschalten auf die Eingabeaufforderung zu erlauben, setzen Sie diese Option zuruck. Falls der Wert von $SYSTEMD_LESS kein >>K<< enthalt und less das aufgerufene Textanzeigeprogramm ist, wird Strg+C durch das Programm ignoriert und muss durch das Textanzeigeprogramm selbst gehandhabt werden. X Diese Option weist das Textanzeigeprogramm an, keine Termcap-Initialisierungs- und -Deinitalisierungszeichenketten an das Terminal zu senden. Dies ist standardmassig gesetzt, damit die Darstellung von Befehlen selbst nach dem Beenden des Textanzeigeprogramms sichtbar bleibt. Allerdings stehen dadurch einige Funktionen des Textanzeigeprogramms nicht zur Verfugung; insbesondere ist das Scrollen in der Ausgabe mit der Maus nicht moglich. Siehe less(1) fur weitere Ausfuhrungen. $SYSTEMD_LESSCHARSET Setzt den an less zu ubergebenden Zeichensatz (standardmassig >>utf-8<<, falls das aufrufende Terminal als UTF-8-kompatibel erkannt wurde) ausser Kraft. $SYSTEMD_PAGERSECURE Akzeptiert einen logischen Wert. Wenn wahr, wird der >>sichere<< Modus des Textanzeigeprogramms verwandt, falls falsch, wird dieser deaktiviert. Falls $SYSTEMD_PAGERSECURE uberhaupt nicht gesetzt ist, dann wird der sichere Modus aktiviert, falls die effektive Kennung nicht identisch zu dem Eigentumer der Anmeldesitzung ist, siehe geteuid(2) und sd_pid_get_owner_uid(3). Im sicheren Modus wird LESSSECURE=1 beim Aufruf des Textanzeigeprogramms gesetzt und das Textanzeigeprogramm muss Befehle deaktivieren, die neue Dateien offnen oder erstellen oder die einen neuen Unterprozess starten. Falls $SYSTEMD_PAGERSECURE uberhaupt nicht gesetzt ist, werden Textanzeigeprogramme, bei denen unbekannt ist, ob sie einen sicheren Modus implementieren, nicht verwandt. (Derzeit implementiert nur less(1) einen sicheren Modus.) Hinweis: Wenn Befehle mit erhohten Rechten ausgefuhrt werden, beispielsweise mittels sudo(8) oder pkexec(1), muss Vorsicht walten gelassen werden, um sicherzustellen, dass keine ungeplanten interaktiven Funktionalitaten aktiviert werden. Der >>sichere<< Modus fur das Textanzeigeprogramm kann wie oben beschrieben automatisch aktiviert werden. Durch Setzen von SYSTEMD_PAGERSECURE=0 oder durch Nichtenfernen dieser Einstellung aus der ererbten Umgebung wird es dem Benutzer ermoglicht, beliebige Befehle auszufuhren. Beachten Sie, dass auch $SYSTEMD_PAGERSECURE gesetzt werden muss, falls die Variablen $SYSTEMD_PAGER oder $PAGER berucksichtigt werden sollen. Es kann sinnvoll sein, stattdessen das Textanzeigeprogramm komplett mit --no-pager zu deaktivieren. $SYSTEMD_COLORS Akzeptiert ein logisches Argument. Wenn wahr, werden systemd und verwandte Hilfswerkzeuge Farben in ihrer Ausgabe verwenden, andernfalls wird die Ausgabe einfarbig sein. Zusatzlich kann die Variable eine der folgenden besonderen Werte annehmen: >>16<<, >>256<<, um die Verwendung von Farbe auf die grundlegenden 16 bzw. 256 ANSI-Farben zu beschranken. Dies kann festgelegt werden, um die auf $TERM und der vorliegenden Verbindung der Konsole basierende automatische Entscheidung ausser Kraft zu setzen. $SYSTEMD_URLIFY Dies muss ein logischer Wert sein. Er steuert, ob anklickbare Links fur Terminal-Emulatoren, die dies unterstutzen, erstellt werden sollen. Dies kann angegeben werden, um die Entscheidung, die systemd basierend auf $TERM und anderen Bedingungen trifft, ausser Kraft zu setzen. BEISPIELE Beispiel 1. Erstellt einen Benutzer >>waldo<< in der Administratorgruppe >>wheel<< und weist ihm 500 MiB Plattenplatz zu. homectl create waldo --real-name="Waldo McWaldo" -G wheel --disk-size=500M Beispiel 2. Erstellt einen Benutzer >>wally<< auf einem USB-Stick und weist ihm eine maximale Anzahl von 500 gleichzeitig laufenden Prozessen zu. homectl create wally --real-name="Wally McWally" --image-path=/dev/disk/by-id/usb-SanDisk_Ultra_Fit_476fff954b2b5c44-0:0 --tasks-max=500 Beispiel 3. Andert die Nice-Stufe des Benutzers >>odlaw<< auf +5, um sicherzustellen, dass bei der Anmeldung des Benutzers die Umgebungsvariable$EINE auf die Zeichenkette >>SACHE<< gesetzt ist. homectl update odlaw --nice=5 --setenv=EINE=SACHE Beispiel 4. Richtet die Authentifizierung mit einem YubiKey-Sicherheits-Token mittels PKCS#11/PIV ein: # Bereinigt den Yubikey von allen alten Schlusseln (Vorsicht!) ykman piv reset # Erstellt ein neues Schlusselpaar (privat/offentlich) auf dem Gerat, speichert den offentlichen Schlussel in >>pubkey.pem<<. ykman piv generate-key -a RSA2048 9d pubkey.pem # Erstellt ein selbstsigniertes Zertifikat aus diesem offentlichen Schlussel und speichert es auf dem Gerat. ykman piv generate-certificate --subject "Knobelei" 9d pubkey.pem # Der offentliche Schlussel wird auf der Platte nicht mehr benotigt rm pubkey.pem # Erlaubt dem Sicherheits-Token, das Konto des Benutzers >>lafcadio<< zu entsperren homectl update lafcadio --pkcs11-token-uri=auto Beispiel 5. Richtet die Authentifizierung mit einem FIDO2-Sicherheits-Token ein: # Erlaubt dem FIDO2-Sicherheits-Token, das Konto des Benutzers >>nihilbaxter<< zu entsperren homectl update nihilbaxter --fido2-device=auto SIEHE AUCH systemd(1), systemd-homed.service(8), homed.conf(5), userdbctl(1), useradd(8), cryptsetup(8) ANMERKUNGEN 1. JSON-Benutzerdatensatze https://systemd.io/USER_RECORD 2. Icon-Benennungsspezifikation https://standards.freedesktop.org/icon-naming-spec/icon-naming-spec-latest.html 3. Benutzer-/Gruppennamen-Syntax https://systemd.io/USER_NAMES UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 HOMECTL(1)