Come posso creare un utente che può accedere tramite SSH ma non sul desktop locale in MacOS X El Capitan?

6

Mi piacerebbe avere un account utente nel mio sistema MacOS X El Capitan che è limitato all'accesso tramite SSH. Non voglio che quell'utente sia in grado di usare il sistema con altri mezzi, specialmente sul desktop locale. Vorrei che quell'utente non fosse elencato come possibile opzione quando si accede al desktop.

Ovviamente l'utente deve poter accedere tramite SSH nel menu delle preferenze di condivisione. Impostare la shell dell'utente su /usr/bin/false , un modo usuale per disabilitare l'accesso per gli utenti su MacOS X senza eliminarli, sembra disabilitare l'accesso SSH e l'accesso desktop. Attualmente l'unico modo che ho in mente è impostare una password per l'utente che l'utente non conosce, ma suppongo che gli utenti possano cambiare la password da soli.

Ad esempio su Debian GNU / Linux sarei in grado di disabilitare del tutto la password e / o il login. C'è qualcosa di simile su MacOS?

    
posta aef 22.01.2016 - 08:32
fonte

2 risposte

3

Puoi creare un utente con un numero basso tramite dscl , come per questa pagina di supporto Apple e sarà nascosto dalla maggior parte delle visualizzazioni.

Inoltre, credo che se si imposta la home directory dell'utente su qualcosa come /var/empty allora ssh effettuerà l'accesso ma il gui no.

    
risposta data 22.01.2016 - 13:22
fonte
3

Configura il tuo nuovo utente come account di sola condivisione, in questo modo non concede loro alcun account sul computer stesso al quale possano accedere ...

Pref. di sistema > Utenti e amp; Gruppi

  1. Fai clic sul lucchetto
  2. Fai clic sul segno + per aggiungere un nuovo utente
  3. Imposta il nuovo account da condividere solo dal menu a discesa [uscito sulla foto per maggiore chiarezza]

Rif:AppleKB- OS X Yosemite: crea un account utente di sola condivisione

Dopo i commenti ...
Apparentemente, questo funziona, ma solo in combinazione con alcune altre modifiche.

Devi creare un nuovo gruppo, "utenti remoti".
Aggiungi la condivisione solo all'utente, quindi aggiungi quel gruppo al Login remoto

Sembra che per impostazione predefinita gli utenti Solo condivisione contengano la shell /usr/bin/false e la directory home /dev/null .
Entrambi questi valori sembrano essere valori magici per alcuni moduli PAM per impedire all'utente di connettersi.
Devi modificare entrambi e avere l'utente aggiunto al gruppo remote users per farlo funzionare.

    
risposta data 22.01.2016 - 10:58
fonte

Leggi altre domande sui tag