Lokale Anmeldung Domänen-User

german

#1

Hallo,

wie kann ich das lokale Anmelden von Domänenusern (z.B. über eine Clientsoftware wie Putty) für einzelne User abschalten, so daß nur die Anmeldung über das Samba-Konto ermöglicht wird?

Danke für eine Info.

S. Görler


#2

Nachtrag dazu:

Ein Posix-Konto wird benötigt, da die Benutzer über ein eigenes Homeverzeichnis auf dem Server verfügen sollen, auf das aber nur via Samba zugegriffen wird. Eine Abwahl von Posix bei Anlegen des Users wäre also keine Lösung.

Ganz praktisch wäre eine Checkbox im Register Linux/Unix: “Lokale Anmeldung erlauben, ja/nein”


#3

Sehr geehrter Herr Görler,

um für einzelne Benutzer den lokalen Login zu unterbinden, wären aufwendige Anpassungen der PAM-Konfiguration erforderlich.

Wenn es ausreicht, normalen Benutzern den Login zu verbieten, während Administratoren sich immer noch anmelden dürfen, können Sie die Konfiguration über Univention Baseconfig Variablen vornehmen. In den Univention Baseconfig Variablen auth/user/services und auth/admin/services werden die Dienste aufgeführt, die verwendet werden dürfen:

# univention-baseconfig get auth/user/services
kde kscreensaver kcheckpass rsh su sudo passwd cron ssh
# univention-baseconfig get auth/admin/services
chfn chsh ftp gdm login other ppp rlogin screen

Administratoren sind hier alle Mitglieder der Gruppen “Domain Admins” und “Administrators” und der Benutzer “root”. (Diese Liste kann um andere Gruppen oder Benutzer erweitert werden.) Wenn beispielsweise nur noch den Administratoren der SSH-Zugang erlaubt sein soll, entfernen Sie den Eintrag ssh aus auth/user/services und nehmen Sie ihn in auth/admin/services auf:

# univention-baseconfig set auth/user/services="kde kscreensaver kcheckpass rsh su sudo passwd cron"
# univention-baseconfig set auth/admin/services="chfn chsh ftp gdm login other ppp rlogin screen ssh"

Beachten Sie bei dieser Einstellung bitte, dass SSH nicht nur für den Benutzer-Login verwendet wird, sondern auch von UCS Systemen selbst (z.B. bei der Synchronisierung der Netlogon-Freigabe, für das Kopieren von Dateien beim Join-Vorgang oder beim Sichern von Zertifikaten auf UCS-Backup Server). Diese Verbindungen müssen also für Rechnerkonten weiterhin erlaubt sein.


#4

Reicht es nicht einfach schon die Login-Shell auf /bin/false zu setzen?
Somit waere eine Anmeldung zwar theoretisch noch moeglich sein, in Ermangelung einer Shell koennte der Benutzer aber ohnehin nichts machen.


#5

Hallo,

wenn für einen Benutzer die Login-Shell auf “/bin/false” gesetzt wird, kann der Benutzer
wichtige Systemdienste nicht mehr ausführen und somit nicht einwandfrei Arbeiten.
Die Authentifizierung an Samba wird durch das Setzen der Login-Shell auf “/bin/false” nicht beeinflusst.
Besser und feiner einstellbar ist die Lösung über die Univention Configuration Registry alias
Univention Baseconfig Variablen. Über die Variablen “auth/user/services” und “auth/admin/services”
können Sie die Dienste genau festlegen an den sich die Benutzer anmelden dürfen.

Mit freundlichen Grüßen
Murat Odabas