Benutzer-Login in GDM und Lightdm reglementieren

8. August 2024

Die beiden gängigen Display-Manager GDM (Gnome Desktop Manager) und Lightdm (Light Display Manager) sind zwei gängige Tools, zur grafischen Anmeldung vor dem Starten einer Desktop Umgebung. Beide lassen sich beliebig konfigurieren, sodass sich beispielsweise die angezeigten Benutzer einstellen lassen, das Hintergrundbild, die Auswahl der Desktop-Oberflächen etc.
Eine Option fehlt dabei jedoch und zwar wie sich der Login bestimmter Benutzer verbieten lässt.

Anpassung der PAM-Module

Um Benutzer am Login an das System zu hindern, steht uns PAM (Pluggable Authentication Modules) zur Verfügung. PAM stellt diverse Module zur Verfügung, um den Benutzer die Möglichkeit gibt, sich auf unterschiedlichste Art und Weise an dem System anzumelden, wie beispielsweise mit Passwörtern, Token, PKI, biometrischen Daten, etc.
Meist verfügen einzelne Applikationen über ihre eigenen PAM-Moduldateien. So auch GDM und Lightdm und diese können noch weiter angepasst werden. Doch zuvor überlegen wir uns, wie die Login-Einschränkung aussehen soll: Dürfen sich alle Benutzer außer einige wenige anmelden (Whitelisting) oder darf sich niemand außer einige wenige anmelden (Blacklisting).
Wie auch immer die Entscheidung ausfällt, legen wir eine Gruppe:

sudo groupadd displaymanagerlogin

Anschließend befüllen wir die Gruppe mit Benutzern:

sudo usermod -aG displaymanagerlogin urmel
sudo usermod -aG displaymanagerlogin fenris

Nun editieren wir eine der Display-Manager Dateien. Für GDM wäre das diese …

sudo nano /etc/pam.d/gdm-password

und für Lightdm diese …

sudo nano /etc/pam.d/lightdm

Dort fügen wir in die zweiten Zeile folgende Parameter ein um den Login lediglich für die Benutzer innerhalb der angegebenen Gruppe zu erlauben:

auth required pam_succeed_if.so user ingroup displaymanagerlogin

… oder um den Login für die Benutzer innerhalb der angegebenen Gruppe zu verbieten:

auth required pam_succeed_if.so user notingroup displaymanagerlogin

Der Neustart eines Dienstes ist nicht erforderlich.
Damit wäre auch bereits alles erledigt. Je nach gesetztem Parameter wird der Login für die Benutzer innerhalb der Gruppe displaymanagerlogin nun erlaubt oder unterbunden.

Bildquellen:
Schloss-Symbole von AcatXIo auf Pixabay
Login-Bild von Gerd Altmann auf Pixabay

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Benutzer-Login in GDM und Lightdm reglementieren

Anpassung der PAM-Module

Kommentar verfassen Kommentieren abbrechen