Benutzer-Login in GDM und Lightdm reglementieren
Die beiden gängigen Display-Manager GDM (Gnome Desktop Manager) und Lightdm (Light Display Manager) sind zwei gängige Tools, zur grafischen Anmeldung vor dem Starten einer Desktop Umgebung. Beide lassen sich beliebig konfigurieren, sodass sich beispielsweise die angezeigten Benutzer einstellen lassen, das Hintergrundbild, die Auswahl der Desktop-Oberflächen etc.
Eine Option fehlt dabei jedoch und zwar wie sich der Login bestimmter Benutzer verbieten lässt.
Anpassung der PAM-Module
Um Benutzer am Login an das System zu hindern, steht uns PAM (Pluggable Authentication Modules) zur Verfügung. PAM stellt diverse Module zur Verfügung, um den Benutzer die Möglichkeit gibt, sich auf unterschiedlichste Art und Weise an dem System anzumelden, wie beispielsweise mit Passwörtern, Token, PKI, biometrischen Daten, etc.
Meist verfügen einzelne Applikationen über ihre eigenen PAM-Moduldateien. So auch GDM und Lightdm und diese können noch weiter angepasst werden. Doch zuvor überlegen wir uns, wie die Login-Einschränkung aussehen soll: Dürfen sich alle Benutzer außer einige wenige anmelden (Whitelisting) oder darf sich niemand außer einige wenige anmelden (Blacklisting).
Wie auch immer die Entscheidung ausfällt, legen wir eine Gruppe:
sudo groupadd displaymanagerlogin
Anschließend befüllen wir die Gruppe mit Benutzern:
sudo usermod -aG displaymanagerlogin urmel
sudo usermod -aG displaymanagerlogin fenris
Nun editieren wir eine der Display-Manager Dateien. Für GDM wäre das diese …
sudo nano /etc/pam.d/gdm-password
und für Lightdm diese …
sudo nano /etc/pam.d/lightdm
Dort fügen wir in die zweiten Zeile folgende Parameter ein um den Login lediglich für die Benutzer innerhalb der angegebenen Gruppe zu erlauben:
auth required pam_succeed_if.so user ingroup displaymanagerlogin
… oder um den Login für die Benutzer innerhalb der angegebenen Gruppe zu verbieten:
auth required pam_succeed_if.so user notingroup displaymanagerlogin
Der Neustart eines Dienstes ist nicht erforderlich.
Damit wäre auch bereits alles erledigt. Je nach gesetztem Parameter wird der Login für die Benutzer innerhalb der Gruppe displaymanagerlogin nun erlaubt oder unterbunden.
Bildquellen:
Schloss-Symbole von AcatXIo auf Pixabay
Login-Bild von Gerd Altmann auf Pixabay