Re: Login/Authentifizierung nur an lokaler virtueller console?

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Sat, 7 Jan 2012 18:02:01 +0100
On Sat, Jan 07, 2012 at 05:32:59PM +0100, Markus Hochholdinger wrote:
> > Wie könnte ich das ganze noch kombinieren mit
> >         pam_listfile.so item=tty sense=allow file=/shome/where
> > und falls ja so, dass nicht alle Accounts diesem Limit unterliegen?
> 
> Es gibt eine man page dazu:
> man pam_listfile

Ja, da habe ich das mit "item=tty" her. Entweder hab ich unaufmerksam
gelesen oder die manpage beantwortet mir nicht, wie ich für einen user
oder eine gruppe *zusätzlich* item=tty anwenden kann, also als
zusätzliche Bedingung nur für die erste Regel.
 
> Du willst dass ein bestimmter Benutzer sich NUR auf der Konsole anmelden darf? 
> Ansonsten soll sich dieser Benutzer nicht anderweitig anmelden dürfen?

Ja, kein ssh, keine cronjobs etc.
 
Das ganze ist natürlich jetzt bisschen über-theoretisch. In der Praxis
werde ich wohl so vorgehen, dass ich in der sshd_config einstelle, dass
nur Benutzer mit einer bestimmten Zugehörigkeit ssh machen können
sollen und den lokalen admin-User eben nicht in die "darf ssh"-Gruppe
mit aufnehmen.

Meine Frage zielte also nur darauf ab, wie ich die erstmal vollständig
unabhängige Anforderung "darf sich nur an tty1 anmelden" nicht mit
"weiss nicht, aber ich mach schonmal ssh dicht, weil ich da da weiss, 
wie es geht" umschiffen wollte.

Und weil ich annehme, dass auf modernen Systemen alles, was
Benutzerauthentifizierung macht über PAM geht, wäre es für mich der
logischere Ort dieses in PAM zentral zu konfigurieren.

> Ich bin halt damals den Weg gegangen, dass per Default niemand irgendetwas 
> darf. Nur über Gruppenzughörigkeit konnte gesteuert werden, wer sich über 
> welchen Dienst wo anmelden darf. Da dies mit der Zeit viele Gruppen erfordert 
> hatte ich damals ein minimales Rollen-Konzept drüber gebaut, damit man neuen 
> Benutzern schnell die benötigten Rechte geben konnte.

Mein Ansatz ist: "Alles auf default, nur eine zusätzliche Beschränkung
an zentraler Stelle".

Danke schonmal, ich werde mir das pam_listfile genauer anschauen.

Gruß
Raphael

-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
xmpp:freibyter@gmx.de  | https://www.xing.com/profile/Raphael_Eiselstein   
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 07.01.2012

Dieses Archiv wurde generiert von hypermail 2.2.0 : 07.01.2012 CET