[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Login/Authentifizierung nur an lokaler virtueller console?
[Thread Prev] | [Thread Next]
- Subject: Re: Login/Authentifizierung nur an lokaler virtueller console?
- From: Raphael Eiselstein <rabe@xxxxxxxxx>
- Date: Sat, 7 Jan 2012 18:02:01 +0100
- To: uugrn@xxxxxxxxxxxxxxx
On Sat, Jan 07, 2012 at 05:32:59PM +0100, Markus Hochholdinger wrote: > > Wie koennte ich das ganze noch kombinieren mit > > pam_listfile.so item=tty sense=allow file=/shome/where > > und falls ja so, dass nicht alle Accounts diesem Limit unterliegen? > > Es gibt eine man page dazu: > man pam_listfile Ja, da habe ich das mit "item=tty" her. Entweder hab ich unaufmerksam gelesen oder die manpage beantwortet mir nicht, wie ich fuer einen user oder eine gruppe *zusaetzlich* item=tty anwenden kann, also als zusaetzliche Bedingung nur fuer die erste Regel. > Du willst dass ein bestimmter Benutzer sich NUR auf der Konsole anmelden darf? > Ansonsten soll sich dieser Benutzer nicht anderweitig anmelden duerfen? Ja, kein ssh, keine cronjobs etc. Das ganze ist natuerlich jetzt bisschen ueber-theoretisch. In der Praxis werde ich wohl so vorgehen, dass ich in der sshd_config einstelle, dass nur Benutzer mit einer bestimmten Zugehoerigkeit ssh machen koennen sollen und den lokalen admin-User eben nicht in die "darf ssh"-Gruppe mit aufnehmen. Meine Frage zielte also nur darauf ab, wie ich die erstmal vollstaendig unabhaengige Anforderung "darf sich nur an tty1 anmelden" nicht mit "weiss nicht, aber ich mach schonmal ssh dicht, weil ich da da weiss, wie es geht" umschiffen wollte. Und weil ich annehme, dass auf modernen Systemen alles, was Benutzerauthentifizierung macht ueber PAM geht, waere es fuer mich der logischere Ort dieses in PAM zentral zu konfigurieren. > Ich bin halt damals den Weg gegangen, dass per Default niemand irgendetwas > darf. Nur ueber Gruppenzughoerigkeit konnte gesteuert werden, wer sich ueber > welchen Dienst wo anmelden darf. Da dies mit der Zeit viele Gruppen erfordert > hatte ich damals ein minimales Rollen-Konzept drueber gebaut, damit man neuen > Benutzern schnell die benoetigten Rechte geben konnte. Mein Ansatz ist: "Alles auf default, nur eine zusaetzliche Beschraenkung an zentraler Stelle". Danke schonmal, ich werde mir das pam_listfile genauer anschauen. Gruss Raphael -- Raphael Eiselstein <rabe@xxxxxxxxx> http://rabe.uugrn.org/ xmpp:freibyter@xxxxxx | https://www.xing.com/profile/Raphael_Eiselstein GnuPG: E7B2 1D66 3AF2 EDC7 9828 6D7A 9CDA 3E7B 10CA 9F2D .........|.........|.........|.........|.........|.........|.........|.. -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/