24.6. Activación del acceso a la consola para otras aplicaciones
Si desea que los usuarios de la consola puedan acceder a otras aplicaciones tendrá que realizar un poco más de trabajo.
En primer lugar, el acceso a la consola sólo funciona para las aplicaciones que residen en /sbin o /usr/sbin, de modo que la aplicación que desee ejecutar deberá estar ubicada en este lugar. Después de verificar esto, siga los pasos siguientes:
Cree un vínculo del nombre de la aplicación, como el programa ejemplo foo, en la aplicación /usr/bin/consolehelper:
cd /usr/bin ln -s consolehelper foo
Cree el archivo /etc/security/console.apps/foo:
touch /etc/security/console.apps/foo
Cree un archivo de configuración de PAM para el servicio foo en /etc/pam.d/. Un modo sencillo de realizar esto es empezar con una copia del archivo de configuración del servicio detenido y luego modificar el archivo si desea cambiar su comportamiento:
cp /etc/pam.d/halt /etc/pam.d/foo
Ahora, cuando ejecute /usr/bin/foo, se llamará al comando consolehelper, el cual validará al usuario con la ayuda de /usr/sbin/userhelper. Para validar al usuario, consolehelper solicitará una contraseña del usuario si /etc/pam.d/foo es una copia de /etc/pam.d/halt (en caso contrario, hará precisamente lo que se haya especificado en /etc/pam.d/foo) y a continuación ejecutará /usr/sbin/foo con permisos de root.
En el archivo de configuración PAM, una aplicación puede ser configurada para usar el módulo pam_timestamp para recordar (caché) un intento de conexión exitoso. Cuando una aplicación inicia y se proporciona una autentificación adecuada (la contraseña de root), se crea un archivo timestamp. Por defecto, una validación con éxito está cacheada durante cinco minutos. Durante este tiempo, cualquier otra aplicación que sea configurada para usar pam_timestamp y ejecutar desde la misma sesión, está automáticamente autenticada para el usuario — el usuario no introduce la contraseña de root de nuevo.
Este módulo está incluido en el paquete pam. Para activar esta característica, el archivo de configuración PAM en etc/pam.d/ debe incluir las líneas siguientes:
auth sufficient /lib/security/pam_timestamp.so session optional /lib/security/pam_timestamp.so |
La primera línea que inicie con auth debería estar tras cualquier otra línea auth sufficient y la línea que empieza con session debería estar tras cualquier otra línea session optional.
Si una aplicación configurada para usar pam_timestamp
es validada exitósamente desde el Botón de Menú Principal (en
el Panel), el
icono es desplegado en el área de notificación del panel si está ejecutando
el entorno de escritorio GNOME. Después que la autentificación caduca
(por defecto cinco minutos), el icono desaparece.
El usuario puede seleccionar olvidar la autentificación cacheada al pulsar el icono y seleccionar la opción de olvidar la autentificación.