home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / sys / sun / admin / 6209 < prev    next >
Encoding:
Internet Message Format  |  1992-09-08  |  3.0 KB
  1. Xref: sparky comp.sys.sun.admin:6209 comp.unix.admin:4948
  2. Newsgroups: comp.sys.sun.admin,comp.unix.admin
  3. Path: sparky!uunet!munnari.oz.au!manuel!durras!ivan
  4. From: ivan@durras.anu.edu.au (Ivan Dean)
  5. Subject: Re: NIS, slave servers and DNS access (actually disabling accounts)
  6. Message-ID: <ivan.715993948@durras>
  7. Sender: news@newshost.anu.edu.au
  8. Organization: Computer Services Centre, Australian National University
  9. References: <92241.144541QQ11@LIVERPOOL.AC.UK> <1992Aug28.163833.28635@fwi.uva.nl> <1992Sep1.001928.17876@zia.aoc.nrao.edu> <21452@rpp386.lonestar.org>
  10. Date:  8 Sep 92 23:12:28 GMT
  11. Lines: 48
  12.  
  13. This thread has moved off into the area of disabling accounts, which is
  14. something I have had a bit of experience in. Recently we acquired sixty
  15. Xterminals for our teaching laboratories, and they change things quite
  16. noticeably.
  17.  
  18. To recap, we've seen the following suggestions for disabling accounts :
  19.  
  20. 1. Alter the password field of the user
  21. 2. Alter the shell of the user
  22.  
  23. Suggestion 1. doesn't work if the user has a .rhosts file, or the
  24. /etc/hosts.equiv file allows them to log on directly, i.e. if a
  25. "trust relationship" is set up from another working account, because the
  26. user doesn't have to enter a password at all.
  27.  
  28. Also, if you change a user's password, then you can't give them a message
  29. about why their account is unavailable when they log in. This is often
  30. desirable, and can only be achieved by altering a user's shell to a
  31. program which prints out the required message. Which leads us to
  32. suggestion 2, which is a good suggestion for logins that require shells.
  33.  
  34. However, running an Xterminal with xdm, or a workstation with xdm, means that
  35.  
  36.        THEY DON'T NEED  A WORKING SHELL TO USE THE SYSTEM !
  37.  
  38. A user with their shell set to "/bin/false" can use the system via windowing
  39. tools such as textedit, mailtool, filemgr etc. quite happily. They can't
  40. start a cmdtool, shelltool or xterm for instance, but who cares ? I HAVE
  41. tried this on one of our Xterminals, and it DOES work. To get around the
  42. problem, you need to modify the standard startup sequence for xdm - we did
  43. it by running a program called xlogin (see archie for details). xlogin
  44. was modified to provide a mechanism for noting that an account was
  45. disabled, and printing out an appropriate message. Running a "standard"
  46. xdm setup does not provide this functionality, and as far as I'm aware,
  47. doesn't provide you with any way to disable a user other than altering
  48. their password, which of course, doesn't work in certain cases anyway.
  49.  
  50. In summary, altering a user's password AND shell will disable that account,
  51. but the user has no idea what's wrong with their account. Changing one but
  52. not the other is generally not sufficient.
  53.  
  54. Disclaimer : I don't know anything about SVR4 yet, so I'm writing about
  55. Suns running SunOS 4.1.x, and the X11R5 version of xdm.
  56. --
  57.  
  58. -------------------------------------------------------------------
  59. Ivan Dean                               Here :                x3261
  60. Faculties Computer Unit                 There :       (06) 249 3261
  61.