Mageia Forum

[gert]

Hallo,
wenn ich z.B. MCC starte und mich als root authorisiere, startet ein Tool, das dafür sorgt, dass die Authorisierung erhalten bleibt (sollange bis man sie abschaltet) .
Ich möchte nicht, dass dieses Tool gestartet wird.
Weiß jemand wie das heißt und wo ich das generell abschalten kann ?

Gruß Gert

[wobo]

Gute Frage (das hatten wir im deutschen Mandriva-Forum schon). Das Problem tauchte da schon vor 2 Jahren auf - ohne Lösung (soweit ich weiß)!
z.B.: http://www.mandrivauser.de/forum/viewto ... 81&t=25399

[doktor5000]

Hier ist eine Lösung:
http://forum.mandriva.com/en/viewtopic. ... 88#p749688

Stellt sich bloß die Frage was du willst:

Willst du nur dass das Symbol nicht angezeigt wird, sind die beiden ersteren Vorschläge für dich interessant.
Willst du, dass sich das Passwort nicht solange gemerkt wird, ist der dritte Vorschlag für dich interessant.

Das Tool sorgt übrigens nicht dafür, dass die Authorisierung erhalten bleibt, es ist nur eine grafische Anzeige dafür.
Verantwortlich dafür sind die PAM-Timeout-Einstellungen, und die sind m.E. schon sehr lange so, es gab nur kein Applet dazu.

[wobo]

Hier ist eine Lösung:
http://forum.mandriva.com/en/viewtopic. ... 88#p749688
Willst du, dass sich das Passwort nicht solange gemerkt wird, ist der dritte Vorschlag für dich interessant.

Wenn er denn korrekt wäre.

If you want to change the timeout, you have to add a different timeout to pam_timestamp in /etc/pam.d/simple_root_authen.

In der Datei /etc/pam.d/simple_root_authen gibt es den Eintrag 'pam_timestamp' nicht, man kann also auch nichts ändern. Man kann ihn natürlich hinzufügen, dazu müsste man aber wissen, wie der Eintrag für "gar kein Timeout" lauten muss.
Will sagen: der timeout muss woanders definiert sein.

In der genannten Datei wird nur auf die entsprechende Lib hingewiesen (pam_timestamp.so).

[doktor5000]

Richtig, und genau dort kann auch der Timeout eingetragen werden.
Sagen einem auch die entsprechenden man-Pages (pam-panel-icon, pam_timestamp)

Ich bin mal so frei:

PAM_TIMESTAMP(8) Linux-PAM Manual PAM_TIMESTAMP(8)

NAME
pam_timestamp - Authenticate using cached successful authentication attempts

SYNOPSIS
pam_timestamp.so [timestamp_timeout=number] [verbose] [debug]

DESCRIPTION
In a nutshell, pam_timestamp caches successful authentication attempts, and allows you to use a recent successful attempt as the basis for
authentication. This is similar mechanism which is used in sudo.

When an application opens a session using pam_timestamp, a timestamp file is created in the timestampdir directory for the user. When an
application attempts to authenticate the user, a pam_timestamp will treat a sufficiently recent timestamp file as grounds for succeeding.

OPTIONS
timestamp_timeout=number
How long should pam_timestamp treat timestamp as valid after their last modification date (in seconds). Default is 300 seconds.

[gert]

Code: Alles auswählen

If you want to change the timeout, you have to add a different timeout to pam_timestamp in /etc/pam.d/simple_root_authen.

Ich weiß nicht wo/wie ich in der Datei "simple_root_authen" einen timeout-Wert ändern soll !

simple_root_authen:

Code: Alles auswählen

#%PAM-1.0
auth       sufficient   pam_rootok.so
auth       sufficient   pam_timestamp.so
auth       include      system-auth
session    required     pam_permit.so
session    optional     pam_xauth.so
session    optional     pam_timestamp.so
account    required     pam_permit.so

auth    required        pam_succeed_if.so       quiet user != xguest


[gert]

sorry, ich war zu langsam !!!

[doktor5000]

Das fett markierte in dem man-Page-Auszug hast du gekonnt überlesen?

EDIT:

sorry, ich war zu langsam !!!

Kein Problem.

[wobo]

Richtig, und genau dort kann auch der Timeout eingetragen werden.
Sagen einem auch die entsprechenden man-Pages (pam-panel-icon, pam_timestamp)

pam_timestamp.so [timestamp_timeout=number] [verbose] [debug]

Im Moment stehe ich auf dem Schlauch. Ist das ein Konsolenbefehl? Kann eigentlich nicht sein, wenn ich den eingebe, also

Code: Alles auswählen

# /lib64/security/pam_timestamp.so timestamp_timeout=0

erhalte ich einen Speicehrzugriffsfehler.

Manchmal hasse ich man pages!

[gert]

Meine Datei "simple_root_authen" sieht jetzt so aus:

#%PAM-1.0
auth sufficient pam_rootok.so
auth sufficient pam_timestamp.so
auth include system-auth
session required pam_permit.so
session optional pam_xauth.so
session optional pam_timestamp.so timestamp_timeout=0
account required pam_permit.so

auth required pam_succeed_if.so quiet user != xguest

Das führt allerdings zu keiner Änderung im Verhalten !!!

[junior]

Moin.

Schuss Ins Blaue.

timestamp_timeout=0 ( er kann evtl. nicht mit der "0" um ) Wäre in den Fall ja deaktiviert. Kannst ja sonst gleich auskommentieren.

Evtl. mal timestamp_timeout=1

[doktor5000]

Ich hab keine Ahnung von PAM, aber ich hätte es jetzt einfach mal auch an den oberen pam_timestamp.so-Eintrag mit angehängt.
Sonst mal den Tip von junior befolgen.

Wichtigste Frage:
Danach hast du neu gebootet bzw. dich ab- und wieder angemeldet?

[junior]

Hmm, also an der "0" liegst wohl nicht.

[gert]

So muss es aussehen:

Code: Alles auswählen

auth       sufficient   pam_timestamp.so timestamp_timeout=0

Dann funktionierts auch !!!

Ich habe jetzt noch den Icon-Aufruf aus der Autostart-Datei herausgenommen und bin mit dem Ergebnis rund um zufrieden.

gelöst !
Dank an Alle !!!

[junior]

Super.
Bei mir auch. Ich hab die einfach auskommentiert, ist aber nicht so elegant

[doktor5000]

Super.
Bei mir auch. Ich hab die einfach auskommentiert, ist aber nicht so elegant

Interesse- und verständnishalber: Was genau hast du auskommentiert?

[junior]

Moin.

Code: Alles auswählen

%PAM-1.0                                                                                                                     
auth       sufficient pam_rootok.so                                                                                         
#auth       sufficient   pam_timestamp.so                                                                                     
auth       include      system-auth                                                                                           
session    required     pam_permit.so                                                                                         
session    optional     pam_xauth.so                                                                                         
session    optional     pam_timestamp.so                                                                                     
account    required     pam_permit.so                                                                                         
                                   

Die "etc/pam.d/simple_root_authen"

[gert]

Bitte als gelöst markieren !

Danke

[doktor5000]

Bei mir auch. Ich hab die einfach auskommentiert, ist aber nicht so elegant

Doch eigentlich ist deine Lösung die sauberere und richtigere Lösung - du deaktivierst die timestamp-Authorisierung vollständig,
es muss immer wieder das Passwort eingegeben werden.

gert hat quasi als Workaround diese timestamp-Authorisierung auf 0 Sekunden begrenzt, was funktioniert aber technisch unsauberer wäre.

Egal, Hauptsache es funktioniert so wie ihr wollt

@gert: Schon geschehen