24.6. Activation de l'accès depuis la console pour d'autres applications
Si vous souhaitez que les utilisateurs de la console aient accès à d'autres applications, suivez les étapes ci-dessous.
Tout d'abord, l'accès console fonctionne uniquement pour les applications résidant dans /sbin ou /usr/sbin; l'application souhaitée doit donc s'y trouver. Une fois que vous avez vérifié sa présence, suivez la procédure ci-dessous:
Créez un lien à partir du nom de votre application, comme le programme foo de notre exemple, vers l'application /usr/bin/consolehelper:
cd /usr/bin ln -s consolehelper foo
Créez le fichier /etc/security/console.apps/foo:
touch /etc/security/console.apps/foo
Créez un fichier de configuration PAM pour le service foo dans /etc/pam.d/. Vous pouvez le faire facilement en démarrant avec une copie du fichier de configuration PAM du service, puis en modifiant le fichier pour en changer le comportement:
cp /etc/pam.d/halt /etc/pam.d/foo
Désormais, lorsque vous exécuterez /usr/bin/foo, le programme appellera consolehelper, qui authentifiera l'utilisateur à l'aide de /usr/sbin/userhelper. Pour l'authentification, consolehelper demandera le mot de passe de l'utilisateur, si /etc/pam.d/foo est une copie de /etc/pam.d/halt (sinon, la commande fera ce qui est spécifié dans /etc/pam.d/foo) et exécutera /usr/sbin/foo avec les permissions du super-utilisateur.
Dans le fichier de configuration de PAM, une application peut être configurée pour utiliser le module pam_timestamp afin de mémoriser (en cache) une tentative d'authentification réussie. Lorsqu'une application est démarrée et que l'application correcte est fournie (le mot de passe root), un fichier de référence temporelle (timestamp) est créé. Par défaut, une authentification réussie est mémorisée pendant cinq minutes. Pendant ce temps, toute autre application configurée pour utiliser pam_timestamp et être lancée à partir de la même session, est authentifiée automatiquement pour l'utilisateur — l'utilisateur n'a donc plus besoin de ressaisir le mot de passe root.
Ce module est inclus dans le paquetage pam. Pour activer cette fonctionnalité, le fichier de configuration PAM présent dans etc/pam.d/ doit comprendre les lignes suivantes:
auth sufficient /lib/security/pam_timestamp.so session optional /lib/security/pam_timestamp.so |
La première ligne commençant par auth devrait figurer après tout autre ligne auth sufficient, et la ligne commençant par session devrait figurer après tout autre ligne session optional.
Si une application configurée pour utiliser pam_timestamp
est authentifiée avec succès depuis le bouton Menu Principal
(sur le tableau de bord), l'icône
est affichée dans la zone de notification du tableau de bord (si vous utilisez
l'environnement de bureau GNOME). Lorsque l'authentification arrive à expiration
(la valeur par défaut est de cinq minutes), l'icône disparaît.
L'utilisateur peut choisir d'oublier l'authentification mémorisée en cliquant sur l'icône et en sélectionnant l'option d'oubli de l'authentification.