home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / sys / sun / admin / 6264 < prev    next >
Encoding:
Text File  |  1992-09-10  |  3.1 KB  |  72 lines
  1. Newsgroups: comp.sys.sun.admin
  2. Path: sparky!uunet!munnari.oz.au!manuel!cs.anu.edu.au!rastaban!steve
  3. From: steve@cs.anu.edu.au (Steven Ball)
  4. Subject: Re: Disabling accounts (was: Re: NIS, slave servers...)
  5. Message-ID: <1992Sep11.005503.10104@cs.anu.edu.au>
  6. Sender: news@cs.anu.edu.au (USENET News software)
  7. Nntp-Posting-Host: rastaban
  8. Reply-To: steve@cs.anu.edu.au
  9. Organization: Computer Science Department, ANU, Australia
  10. References: <ivan.715993948@durras>
  11. Date: Fri, 11 Sep 1992 00:55:03 GMT
  12. Lines: 58
  13.  
  14. In article 715993948@durras, ivan@durras.anu.edu.au (Ivan Dean) writes:
  15. >This thread has moved off into the area of disabling accounts, which is
  16. >something I have had a bit of experience in.
  17. > [... stuff deleted ...]
  18. >However, running an Xterminal with xdm, or a workstation with xdm, means that
  19. >
  20. >       THEY DON'T NEED  A WORKING SHELL TO USE THE SYSTEM !
  21. >
  22. > [...]To get around the
  23. >problem, you need to modify the standard startup sequence for xdm - we did
  24. >it by running a program called xlogin (see archie for details). xlogin
  25. >was modified to provide a mechanism for noting that an account was
  26. >disabled, and printing out an appropriate message.
  27.  
  28. I'm the guy who actually set all of this up.  I *did not* modify xlogin to disable
  29. account (I modified for other reasons, but that's another story!  Stay tuned to
  30. comp.windows.x for that :-) - I modified Xsession.  Xsession now looks to see 
  31. if the user has been disabled.  At the moment it does this by looking for a particular 
  32. file in the user's home directory.  This file should also be a shell script.  The script 
  33. is run and its output is piped into a tool that displays it on the display.  Xsession 
  34. then does exit 1.  The user's initial shell is also set to this script, thus disabling 
  35. logins (and they get the message) and ftp access.  I've tested it , and it works.
  36.  
  37. Of course a really nice feature is that a stewed ant can shoot them self in the foot
  38. by creating this file.  If one really did care about this then you could put the script
  39. in a place inaccessible to users.
  40.  
  41. Also, this is done in Xsession rather than Xstartup since Xstartup runs as root.
  42. Xsession is more secure.
  43.  
  44. > Running a "standard"
  45. >xdm setup does not provide this functionality, and as far as I'm aware,
  46. >doesn't provide you with any way to disable a user other than altering
  47. >their password, which of course, doesn't work in certain cases anyway.
  48. >
  49.  
  50. At least xdm allows you to easily roll your own.
  51.  
  52. >In summary, altering a user's password AND shell will disable that account,
  53. >but the user has no idea what's wrong with their account. Changing one but
  54. >not the other is generally not sufficient.
  55. >
  56. >Disclaimer : I don't know anything about SVR4 yet, so I'm writing about
  57. >Suns running SunOS 4.1.x, and the X11R5 version of xdm.
  58. >--
  59. >
  60. >-------------------------------------------------------------------
  61. >Ivan Dean                               Here :                x3261
  62. >Faculties Computer Unit                 There :       (06) 249 3261
  63.  
  64.  
  65.  
  66. ---
  67. Steven Ball, Department of Computer Science, ANU
  68. E-mail: Steve.Ball@cs.anu.edu.au    Ph. (06) 2495146
  69. Snail-mail: GPO Box 4, CANBERRA CITY ACT 2600, AUSTRALIA
  70.            He's not the messiah, he's a very naughty boy!
  71.  
  72.