Hi Raphael, Am 07.01.2012 um 16:00 Uhr schrieb Raphael Eiselstein <rabe_at_uugrn.org>: > On Sat, Jan 07, 2012 at 02:41:55PM +0100, Markus Hochholdinger wrote: > > > sowas bauen, dass der Login für einen bestimmten Benutzer zB *nur* auf > > > /dev/tty1 möglich ist? > > ich hatte das vor längerer Zeit mal über Gruppenzugehörigkeit umgesetzt: > > Datei /etc/pam.d/login: > > [..] > > auth required pam_listfile.so item=group \ > > sense=allow file=/etc/pam.d/login-groups > > [..] > Hmm, damit kann der "login" service nur von Accounts in dieser Gruppe > genutzt werden. ich hatte oben nur ein Beispiel gezeigt, das bei mir funktioniert (bzw. früher mal funktioniert hat). > Die Beschränkung auf lokale konsolen ist bei "login" > gegeben? > Also "login" wird nur von einem getty verwendet und nicht von > anderen Diensten? Das wäre für mich ausreichend. Würde ich spontan sagen: Ja. > Wie könnte ich das ganze noch kombinieren mit > pam_listfile.so item=tty sense=allow file=/shome/where > und falls ja so, dass nicht alle Accounts diesem Limit unterliegen? Es gibt eine man page dazu: man pam_listfile Ich muss gestehen, dass mir der Sinn der Übung noch nicht ganz klar ist und ich vlt. auch einfach die Anforderungen noch nicht richtig verstanden habe: Du willst dass ein bestimmter Benutzer sich NUR auf der Konsole anmelden darf? Ansonsten soll sich dieser Benutzer nicht anderweitig anmelden dürfen? Wenn Du pam dafür verwenden willst, dann musst Du diesen Benutzer bei allen anderen Diensten ausschließen oder aber keinen System-Benutzer dafür anlegen (was wohl schwieriger für die spätere Shell sein würde). Also irgendwo wirst Du Arbeit haben, entweder einen System-Benutzer entsprechend einzuschränken oder aber einen Dienst verwenden, der keinen System-Benutzer benötigt. Bei Debian kannst Du übrigens pam-Regeln auf ALLE Dienste eintragen in /etc/pam.d/common-* Ich bin halt damals den Weg gegangen, dass per Default niemand irgendetwas darf. Nur über Gruppenzughörigkeit konnte gesteuert werden, wer sich über welchen Dienst wo anmelden darf. Da dies mit der Zeit viele Gruppen erfordert hatte ich damals ein minimales Rollen-Konzept drüber gebaut, damit man neuen Benutzern schnell die benötigten Rechte geben konnte. -- Gruß \|/ eMHa (o o) ------------------------------------------------------oOO--U--OOo-- Markus Hochholdinger e-mail mailto:Markus_at_Hochholdinger.net .oooO www http://www.hochholdinger.net ( ) Oooo. ------------------------------------------------------\ (----( )- Ich will die Welt verändern, \_) ) / aber Gott gibt mir den Quelltext nicht! (_/ -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/
Dieses Archiv wurde generiert von hypermail 2.2.0 : 07.01.2012 CET