Am 07.01.2012 18:02, schrieb Raphael Eiselstein: > Ja, da habe ich das mit "item=tty" her. Entweder hab ich unaufmerksam > gelesen oder die manpage beantwortet mir nicht, wie ich für einen user > oder eine gruppe *zusätzlich* item=tty anwenden kann, also als > zusätzliche Bedingung nur für die erste Regel. > Wenn ich die Manpage richtig verstehe, dann kannst Du mit item nur auf User, Gruppe *oder* TTY prüfen und nicht mehrere (z. B. als OR). Somit kann man - nach meinem Verständnis - durch eine solche Prüfung "item=tty" auch nur den Login an der Konsole komplett *für alle User* erlauben oder verweigern! > Meine Frage zielte also nur darauf ab, wie ich die erstmal vollständig > unabhängige Anforderung "darf sich nur an tty1 anmelden" nicht mit > "weiss nicht, aber ich mach schonmal ssh dicht, weil ich da da weiss, > wie es geht" umschiffen wollte. > > Und weil ich annehme, dass auf modernen Systemen alles, was > Benutzerauthentifizierung macht über PAM geht, wäre es für mich der > logischere Ort dieses in PAM zentral zu konfigurieren. > Ich kenne solche Restriktionen eigentlich immer nur für Root und nicht konfigurierbar für irgendwelche User. Ich glaube auch kaum, dass es auf User-Basis auf die Anmeldung am TTY1 zu beschränken ist, aber ich lasse mich gerne eines besseren belehren. Ich wünsche dir dennoch viel Erfolg bei deinen weiteren Recherchen und Tests. > Mein Ansatz ist: "Alles auf default, nur eine zusätzliche Beschränkung > an zentraler Stelle". > Das sehe ich genauso, denn wer weiß schon was man sich sonst für Probleme einhandelt ;-) Gruß Tom -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/Empfangen am 07.01.2012
Dieses Archiv wurde generiert von hypermail 2.2.0 : 07.01.2012 CET