[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: PAM i la canalla ...



> Acabo de provar-ho amb una Sarge i funciona ...
>
> Tan sols cal fer unes petites modificacions:
>
> usuari@xarbox:~$ su -
> Password:
> xarbox:~# nano /etc/security/time.conf
>
> i posar-hi quelcom semblant a
>
> kdm;*;prova;Al0900-1025
>
> sí tan sols vols limitar l'accès via kdm; a tots els terminals; a l'usuari
> prova; tots els dies de la setmana entre les 9:00 i les 10:25 a.m.
>
> *;*;prova;Al0900-1025
>
> El mateix però amb tots els serveis llistats a /etc/pam.d/ que tinguin el
> mòdul pam_time.so activat, en el meu cas he descomentat la línia
>
> #account    requisite  pam_time.so
>
> de /etc/pam.d/login
>
> i he afegit
>
> account    requisite    pam_time.so
>
> al final de /etc/pam.d/kdm
>
>
> La cosa pita prou bé ;-) ... tan sols un petit però ... sí l'usuari ja ha
> fet login i pertant ja ha estat autentificat les restriccions no tindran
> cap efecte i permetran que aquest ultrapassi el temps adjudicat.
> Probablement hi hagi una manera més elegant de fer-ho però a mi i hores
> d'ara tan sols em pasa pel cap la idea d'un mini-scriptillo que executi el
> cron amb l'objectiu de reiniciar l'entorn gràfic per forçar
> l'autentificació de l'usuari.

Recepteta ( cutre i saltxitxera )

Creem /usr/local/bin/kdmreload.sh amb el següent contingut:

xarbox:~# cat /usr/local/bin/kdmreload.sh
#!/bin/sh

/etc/init.d/kdm restart
xarbox:~#

a continuació editem l'arxiu /etc/crontab i hi afegim al final les línies
adients i coordinades amb les entrades que hi tinguem a
/etc/security/time.conf

xarbox:~# cat /etc/security/time.conf
.
.
.
*;*;prova;Al1120-1125

xarbox:~# cat /etc/crontab
.
.
.
20 11   * * *   root    /usr/local/bin/kdmreload.sh
25 11   * * *   root    /usr/local/bin/kdmreload.sh


De fet no ho he provat però suposo que perfectament es podrien afegir més
entrades a /etc/security/time.conf ( suposem horari matinal i de tarda ) i
les corresponents al crontab.

En qualsevol cas així forcem la autentificació de l'usuari via kdm i
llavors ja entren en funcionament les restriccions del pam_time.so





Reply to: