一台计算机正在用于轮班工作,当前使用一个共享帐户并在启动时自动登录。某些 UI 应用程序在自动登录时启动,并且它们连续运行很重要。
我们如何在不注销的情况下安全地验证个人用户进入该系统(例如使用智能卡)?个人用户仅使用其凭据解锁和锁定屏幕,他们不拥有该帐户本身,并且该帐户永远不会注销。
建议的方法是将控制台连接到支持身份验证的 KVM。这将需要具有该开放控制台的系统的物理安全性,并信任 KVM。显然比我们现在所做的要好。是否有优雅的计算机内解决方案?似乎一个窗口管理器应该是可配置或可修改的来做这样的事情。也许有这方面的教程,我只是没有使用正确的搜索词?
您可以尝试使用 PAM 实现基于智能卡的身份验证,并将所有授权用户的智能卡证书主题 DN 映射到此通用本地登录。
较新版本的sssd支持智能卡。虽然不知道它有多成熟。