[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Login/Authentifizierung nur an lokaler virtueller console?


Hi Raphael,

Am 07.01.2012 um 16:00 Uhr schrieb Raphael Eiselstein <rabe@xxxxxxxxx>:
> On Sat, Jan 07, 2012 at 02:41:55PM +0100, Markus Hochholdinger wrote:
> > > sowas bauen, dass der Login fuer einen bestimmten Benutzer zB *nur* auf
> > > /dev/tty1 moeglich ist?
> > ich hatte das vor laengerer Zeit mal ueber Gruppenzugehoerigkeit umgesetzt:
> > Datei /etc/pam.d/login:
> > [..]
> > auth    required        pam_listfile.so item=group \
> >   sense=allow file=/etc/pam.d/login-groups
> > [..]
> Hmm, damit kann der "login" service nur von Accounts in dieser Gruppe
> genutzt werden.

ich hatte oben nur ein Beispiel gezeigt, das bei mir funktioniert (bzw. frueher 
mal funktioniert hat).


> Die Beschraenkung auf lokale konsolen ist bei "login"
> gegeben?
> Also "login" wird nur von einem getty verwendet und nicht von
> anderen Diensten? Das waere fuer mich ausreichend.

Wuerde ich spontan sagen: Ja.


> Wie koennte ich das ganze noch kombinieren mit
>         pam_listfile.so item=tty sense=allow file=/shome/where
> und falls ja so, dass nicht alle Accounts diesem Limit unterliegen?

Es gibt eine man page dazu:
man pam_listfile


Ich muss gestehen, dass mir der Sinn der Uebung noch nicht ganz klar ist und 
ich vlt. auch einfach die Anforderungen noch nicht richtig verstanden habe:

Du willst dass ein bestimmter Benutzer sich NUR auf der Konsole anmelden darf? 
Ansonsten soll sich dieser Benutzer nicht anderweitig anmelden duerfen?

Wenn Du pam dafuer verwenden willst, dann musst Du diesen Benutzer bei allen 
anderen Diensten ausschliessen oder aber keinen System-Benutzer dafuer anlegen 
(was wohl schwieriger fuer die spaetere Shell sein wuerde).

Also irgendwo wirst Du Arbeit haben, entweder einen System-Benutzer 
entsprechend einzuschraenken oder aber einen Dienst verwenden, der keinen 
System-Benutzer benoetigt.

Bei Debian kannst Du uebrigens pam-Regeln auf ALLE Dienste eintragen in
  /etc/pam.d/common-*

Ich bin halt damals den Weg gegangen, dass per Default niemand irgendetwas 
darf. Nur ueber Gruppenzughoerigkeit konnte gesteuert werden, wer sich ueber 
welchen Dienst wo anmelden darf. Da dies mit der Zeit viele Gruppen erfordert 
hatte ich damals ein minimales Rollen-Konzept drueber gebaut, damit man neuen 
Benutzern schnell die benoetigten Rechte geben konnte.


-- 
Gruss
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@xxxxxxxxxxxxxxxxx             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
Ich will die Welt veraendern,                           \_)    ) /
aber Gott gibt mir den Quelltext nicht!                      (_/



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/