| 1 |
On Fri, 8 Jul 2005 16:43:56 +0200 |
| 2 |
Arnaud Launay <asl@××××××.org> wrote: |
| 3 |
|
| 4 |
> ?? ya des groupes pour ça... ? |
| 5 |
> ... |
| 6 |
> Même chose, groupes, voire acl... |
| 7 |
|
| 8 |
Ça ne résoud pas le problème, c'est trop statique. Imagine des |
| 9 |
machines en libre service dans une fac : les étudiants |
| 10 |
susceptibles de se logguer dessus sont tous dans les mêmes |
| 11 |
groupes à la base, et n'ont évidemment pas chacun une machine qui |
| 12 |
leur serait attribuée a priori. Mais tu veux quand même que quand |
| 13 |
l'étudiant "Bob" est assis devant la machine "saintemilion" et |
| 14 |
qu'il branche une clef USB, il n'y ait que lui qui puisse la |
| 15 |
formatter, et pas le vilain "Charlie" qui est sshisé depuis |
| 16 |
"chateuneufdupape". Et bah c'est à ça que sert le module |
| 17 |
pam_console par exemple. |
| 18 |
|
| 19 |
> Pareil sur des serveurs sans autre utilisateur que l'admin, ce |
| 20 |
> qui est le cas de la plupart des serveurs à part machines de dev |
| 21 |
> ou machines en université... |
| 22 |
|
| 23 |
Oups, j'avais pas lu jusque là encore. Bon bah donc tu as aussi |
| 24 |
déjà pensé à mon exemple favori :) |
| 25 |
Bon ceci dit, je le limiterai pas aux machines de dev et aux |
| 26 |
facs. Tu peux facilement avoir dans une boite aussi une machine à |
| 27 |
la fois accessible en local et à distance, genre parceque c'est |
| 28 |
la seule sur laquelle sont installés certains softs, mais qu'on |
| 29 |
n'a pas les moyens de l'enfermer dans un placard et de la dédier |
| 30 |
uniquement à ça pour autant. |
| 31 |
|
| 32 |
Bon, un autre alors : les sysadmins de ta boite en ont marre des |
| 33 |
employés qui se font social-engineeré par téléphone, et décident |
| 34 |
que maintenant tout le monde se logguera avec une carte à puce au |
| 35 |
lieu d'un mot de passe. Bah ils changent la config pam des |
| 36 |
machines, et puis voilà, alors que sans c'est pas gagné... |
| 37 |
Ou bien encore si les sysadmins veulent tout simplement |
| 38 |
centraliser la gestion de l'autentification par mdp sur un |
| 39 |
serveur kerberos ou un truc du genre, là aussi c'est pam qui rend |
| 40 |
ça possible simplement. |
| 41 |
|
| 42 |
> En ce qui me concerne, je n'ai jamais eu besoin de pam |
| 43 |
|
| 44 |
Moi non plus :) |
| 45 |
|
| 46 |
> C'est plutôt une application basique de la méthode KISS :) |
| 47 |
|
| 48 |
Ouais, enfin la méthode KISS c'est la méthode "KI va bien pour |
| 49 |
les problèmes Simples, Stupides", mais pas une panacée. |
| 50 |
|
| 51 |
-- |
| 52 |
TGL. |
| 53 |
|
| 54 |
-- |
| 55 |
gentoo-user-fr@g.o mailing list |
Archives