Re: Login/Authentifizierung nur an lokaler virtueller console?

Autor: Markus Hochholdinger <Markus_at_hochholdinger.net>
Datum: Sat, 7 Jan 2012 14:41:55 +0100
Hi Raphael,

Am 07.01.2012 um 12:55 Uhr schrieb Raphael Eiselstein <rabe_at_uugrn.org>:
> ich will für einen Server einen "local admin" Account einrichten. Der
> Login soll nur über eine lokale (virtuelle) Konsole möglich sein, also
> zB USB Tastatur/VGA Konsole.
> Ziel ist es, im Falle einer "Remote Hands"-Situation einem Helfer vor
> Ort telefonisch den Zugang zum System zu ermöglichen. Der eingeloggte
> Benutzer soll diverse Standard-Tasks ausführen können, zB mittels sudo.
> Mit welchem - vermutlich auf PAM basierenden Mechanismus - kann man
> sowas bauen, dass der Login für einen bestimmten Benutzer zB *nur* auf
> /dev/tty1 möglich ist?

ich hatte das vor längerer Zeit mal über Gruppenzugehörigkeit umgesetzt:

Datei /etc/pam.d/login:
[..]
auth    required        pam_listfile.so item=group \
  sense=allow file=/etc/pam.d/login-groups
[..]

In /etc/pam.d/login-groups stehen dann Gruppennamen, pro Zeile einer.

Je nach Anwendungsfall kann man das auch negiert verwenden, mit "sense=deny".


-- 
Gruß
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus_at_Hochholdinger.net             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
Ich will die Welt verändern,                           \_)    ) /
aber Gott gibt mir den Quelltext nicht!                      (_/


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 07.01.2012

Dieses Archiv wurde generiert von hypermail 2.2.0 : 07.01.2012 CET