GLEP 81: 通过专用软件包进行用户和组管理

逻辑结构

在本提案中，系统用户和组由常规软件包表示。这些软件包在逻辑上表示各自用户和组的所有权，并在技术上实现其创建。

用户软件包位于acct-user类别中。每个用户软件包定义了特定用户的属性，并且必须以它创建的用户的名称命名。它必须在构建时和运行时依赖于用户所属的组。

组软件包位于acct-group类别中。每个组软件包定义了特定组的属性，并且必须以它创建的组的名称命名。

所有用户和组软件包都必须定义首选的固定 UID/GID，并且它们在存储库中必须是唯一的。软件包应指示该值是否需要严格执行，或者在用户已存在或请求的 UID/GID 被占用时，另一个 UID/GID 是否可以接受。

需要特定用户或组的软件包使用依赖项来拉取所需的用户/组软件包。如果构建时需要用户，则必须使用构建时依赖项（DEPEND）。如果安装时和/或运行时需要用户，则必须使用运行时依赖项（RDEPEND）。

维护用户/组

用户和组软件包的主要技术功能是创建用户和组。这通过在pkg_preinst阶段调用相应的系统工具来完成。只有在系统上不存在用户/组时才执行此操作。

如果用户或组已经存在，则软件包会执行必要的修改以满足请求的属性。这包括更新用户的 home 目录路径（但不移动目录本身）、shell 和/或组成员资格。但是，不会修改 UID/GID。

软件包不得删除用户/组。当不再需要帐户时，工具必须确保它被锁定以防止访问。相应地，软件包必须能够在重新安装时重新启用用户。

可以提供额外的工具来帮助用户删除组和用户。但是，此类操作需要由系统管理员明确确认。

主目录所有权

如果所讨论的用户使用常规 home 目录（即不是/dev/null），则用户软件包应通过keepdir命令来维护目录。这允许在不再需要时干净地删除 home 目录。如果目录还不存在，包管理器也会应用正确的权限。

请注意，由于用户要到pkg_preinst才创建，因此 home 目录的权限不应早于此时间应用。

满足的目标

通过依赖项跟踪用户/组的使用情况。只要任何已安装的软件包依赖于特定的用户/组软件包，就假定使用了相应的用户/组。如果没有留下需要特定用户/组的软件包，则包管理器会自动修剪软件包，明确表明它不再使用。

每个用户和组都有一个创建它的相应软件包。如果多个软件包需要它，它们将依赖于同一个软件包。这确保所有属性都保存在一个位置，并且不需要同步。

在一个位置拥有所有预定义的用户/组范围，可以维护固定的 UID/GID 定义。本 GLEP 使分配它们成为强制性的。虽然这对现有用户没有强制执行，但它为新安装提供了一种前进的道路。

可以通过本地存储库（通过覆盖相应用户/组 ebuild）轻松实现本地覆盖。该提案还尊重直接的系统管理员修改。

通过正确的依赖项类型，避免在构建时不必要地创建用户/组。虽然在现状下可以实现这一点，但依赖项模型应该对开发人员来说更自然，并减少错误。

用户/组删除

最初的提案尝试在相应的软件包被取消合并时自动删除用户/组。这需要验证是否有任何文件由用户/组拥有，这在 I/O 方面既昂贵又脆弱。

本 GLEP 遵循将过时的用户/组帐户保留下来，同时确保它们被正确锁定。这保证不会留下任何带有过时所有权的文件（例如，在未挂载的文件系统上），并且不会将相同的 UID/GID 重新用于另一个用户/组。