Risparmio indesiderato di credenziali proxy

3

Sto lavorando in un ambiente in cui diversi utenti accedono agli iMac condivisi (OS X 10.7.4) utilizzando account generici condivisi tra più utenti. Tuttavia, quando desiderano accedere a Internet, devono autenticarsi con il server proxy utilizzando le proprie credenziali univoche.

Con questo in mente, le credenziali del proxy dovrebbero essere cancellate al logout, in modo che quando un altro utente accede allo stesso account, devono comunque inserire le proprie credenziali proxy quando accedono a Internet. Firefox lo fa bene. Tuttavia Safari salva le credenziali indipendentemente da cosa e persistono durante il logout, che è un problema di sicurezza e privacy.

Ho provato a disattivare l'autenticazione per il server proxy. Ciò richiederà nuovamente le credenziali ma le salverà dopo che sono state inserite. I portachiavi hanno un comportamento simile quando scadono o vengono cancellati. Il riempimento automatico per le password in Safari è disattivato e non ci sono password salvate o altre credenziali.

Come posso impedire che le credenziali del proxy vengano salvate?

Aggiornamento: il problema sembra provenire da un processo di sistema chiamato AuthBrokerAgent che è responsabile dell'autenticazione proxy. Quando le credenziali proxy vengono immesse per la prima volta, le memorizza nel portachiavi di accesso dell'utente e si aggiunge automaticamente come applicazione consentita per accedere a tali credenziali. Una soluzione alternativa può essere creata rimuovendola da un elenco di applicazioni consentite, costringendo il programma a chiedere la password del portachiavi quando accede a tali credenziali, quindi modificando la password del portachiavi in modo che sia diversa dalla password dell'account utente, ma questo è estremamente macchinoso in quanto deve essere configurato su ogni account singolarmente. Una soluzione migliore deve esistere.

L'eliminazione dell'elenco di preferenze AuthBrokerAgent ha interrotto completamente l'autenticazione del proxy in Safari.

    
posta Adrian 14.09.2012 - 03:56
fonte

1 risposta

1

Non sono sicuro di come impedire la creazione delle credenziali in primo luogo, ma puoi rimuovere elementi dal Portachiavi usando security command, che è facilmente scriptable.

Il comando che desideri è security delete-internet-password -s server , dove server è il nome host o l'indirizzo del server proxy senza il protocollo (cioè 192.168.0.1 , non https://192.168.0.1 ). In alternativa puoi usare -l label per abbinare il nome dell'elemento portachiavi, o vari altri parametri di ricerca, che puoi trovare dettagliati su pagina principale .

Puoi avere questo comando eseguito al logout per ogni utente salvandolo come script eseguibile in una posizione leggibile da tutti gli utenti (assicurarsi che il file sia eseguibile anche per tutti gli utenti). Quindi esegui sudo defaults write com.apple.loginwindow LogoutHook /path/to/script .

    
risposta data 19.09.2012 - 05:30
fonte

Leggi altre domande sui tag