pam time
Achtung!
Dieser Artikel wird aktuell in Baustelle/pam time überarbeitet. Daher kann es sein, dass diese Seite hier veraltete oder nicht (mehr) zutreffende Informationen enthält. Vergleiche beide Versionen und wende dich im Zweifelsfall mit deinem konkreten Anliegen an das Support-Forum. Änderungen am Artikel bitte nur in Baustelle/pam time!
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Dieser Artikel ist mit keiner aktuell unterstützten Ubuntu-Version getestet! Bitte teste diesen Artikel für eine Ubuntu-Version, welche aktuell unterstützt wird. Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
pam_time ist ein Bestandteil von PAM, den Pluggable Authentication Modules[4]. Sie sind eine Softwarebibliothek, welche für Authentifizierungsdienste zur Verfügung steht. Damit kann man bestimmten Benutzern die Nutzung bestimmter Dienste, Programme oder generell die Anmeldung am Computer zu bestimmten Uhrzeiten an bestimmten Tagen erlauben oder verbieten. Dieser Artikel erklärt jedoch nur die Einschränkung der Nutzungszeit des Rechners durch eine Sperre der Anmeldung.
Installation¶
Die benötigte Software ist bereits ein integraler Bestandteil von Ubuntu, siehe PAM.
Anwendung¶
Grundsätzlich ist das Modul pam_time
recht einfach benutzbar:
Als Erstes werden gewünschte Zeiten in der Konfigurationsdatei time.conf im Verzeichnis /etc/security/ eingerichtet. „Konfiguration der time.conf“
Im zweiten Schritt wird das Zeitmodul pam_time.so durch einen Eintrag in der Konfigurationsdatei common-account im Verzeichnis /etc/pam.d aktiviert. „Aktivierung der Zeitsteuerung“
Diese beiden Schritte werden in den folgenden Abschnitten ausführlich erklärt. Um sich bei der Einrichtung nicht selber auszusperren, muss man die ebenfalls unten beschriebene Funktionsweise verstehen und beachten. Abschließende Beispiele verdeutlichen die Anwendung und decken typische Nutzungsmöglichkeiten ab.
Funktionsweise¶
Das Modul pam_time
, sofern aktiviert, prüft beim Anmeldevorgang Zeile für Zeile die Regeln in seiner Konfigurationsdatei und selektiert alle Regeln bzw. Zeilen, bei der Service, Terminal und Benutzername des aktuellen Anmeldeversuchs mit den Kriterien der Regel übereinstimmen:
Die Prüfung beginnt, als wäre eine Regel „Alle dürfen sich jederzeit anmelden.“ vorgegeben.
Wenn eine auf die aktuelle Anmeldesituation passende Zeile gefunden wird, gilt als neuer zulässiger Zeitraum die Überlappung aus bisherigem und dem in dieser Regel positiv bestimmten Zeitraums.
Nach Abarbeitung aller Zeilen wird geprüft, ob der aktuelle Zeitpunkt im so bestimmten zulässigen Zeitraum liegt; wenn dies nicht erfüllt ist, wird der Anmeldeversuch als unzulässig abgewiesen, sonst als grundsätzlich zulässig zurück gemeldet.
Der zulässige Zeitraum (der auch aus mehreren Teilbereichen bestehen kann) wird also durch zusätzliche Zeilen immer nur eingeschränkt und niemals erweitert.
In der Praxis sollte man zur Vermeidung eigener Verwirrung in den Regeln immer die Zeiträume notieren, innerhalb deren eine Anmeldung zulässig ist.
Beachte: In der Praxis will man oft die zulässigen Arbeitszeiten am Rechner beschränken. Das Modul pam_time
beschränkt aber nur die Anmeldezeitpunkte und beendet selbst nicht eine aktive Sitzung; das muss man durch zusätzliche Maßnahmen sicherstellen.
Aktivierung der Zeitsteuerung¶
Damit die Zeitsteuerung überhaupt aktiviert wird, muss sie in der Konfigurationsdatei common-account im Verzeichnis /etc/pam.d/ eingetragen werden.
Achtung!
Die hier vorgeschlagene Arbeitsweise kann zu einem unbenutzbaren System führen:
Die Dateien /etc/pam.d/common-* werden automatisch vom Paketsystem APT verwaltet. Inkompatible eigene Änderungen können bei Aktualisierungen unerwartete Folgen haben!
Diese Dateien wird von allen Authentifizierungsmethoden für alle Services verwendet. Das ist zwar im Rahmen dieses Artikels erwünscht, kann aber bei fehlerhafter Konfiguration zum vollständigen Ausschluss führen!
Aktivierung: Mit Root-Rechten[1] in einem Texteditor[2] folgenden Eintrag entweder am Anfang oder am Ende der Konfigurationsdatei einfügen:
account required pam_time.so
Es erscheint dann bei der Anmeldung am Displaymanager der Hinweis "Passwort ungültig, bitte wiederholen
" (Ubuntu), "Falsches Passwort, bitte wiederholen
" (Derivate von Ubuntu) oder ein ähnlicher Hinweis.
Es sind keine Änderungen in weiteren Konfigurationsdateien erforderlich, da die Datei common-account in allen anderen Dateien bereits eingebunden ist. Dies betrifft auch die Anmeldung an einer virtuellen Konsole!
Konfiguration der time.conf¶
Die Definition der erlaubten Zeiten für eine Anmeldung erfolgt mit einem Texteditor[2] mit Root-Rechten[1] in der Datei /etc/security/time.conf. Diese Datei muss ggf. selbst angelegt werden, muss dem Benutzer root gehören und darf nur von diesem beschreibbar sein.
Aufbau¶
Eine Konfiguration besteht aus mindestens einer Zeile, welche grundsätzlich so aufgebaut ist:
# Was?; Wo? ; Wer? ; Wann? login ; ttys ; users ; times
Jede Zeile besteht aus vier Spalten, welche durch ein Semikolon ";
" voneinander getrennt werden. Spalten zwischen den Semikolons können anstatt durch ein Leerzeichen durch den Platzhalter *
freigehalten werden. Das bedeutet, dass beispielsweise ein *
in der Spalte users
keine Einschränkungen der Benutzer macht: Diese Regel in dieser Zeile gilt dann also für alle Benutzer.
Ausfüllhilfe¶
Die erste Spalte muss grundsätzlich nicht verändert werden, da im Artikel nur Logins konfiguriert werden sollen.
ttys
setzt man am besten auf*
, um wirklich alle möglichen Orte von versuchten Anmeldungen zu erfassen.Für
users
wird der Benutzer eingetragen, welcher mit dieser Zeile zeitlich beschränkt werden soll.Bei
times
werden die erlaubten Zeiten für den Benutzer eingetragen.
Eine Umkehrung durch Operatoren wie !
(Logisches "Nicht") ist möglich:
login ; * ; users ; !times
Dann darf sich der Benutzer, welcher für users
einzusetzen ist, nicht in den Zeiten, die für times
einzusetzen sind, einloggen.
Experten-Info:
login
ist der Service, auf den sich der Artikel mit seinen Erklärungen und Beispielen bezieht. Experten haben hier erweiterte Konfigurationsmöglichkeiten, die der Artikel aufgrund ihrer Komplexität nicht abdecken kann. Mit login
sind bereits häufige Nutzungsmöglichkeiten sehr gut abgedeckt.
Die vollständigen Möglichkeiten werden in den folgenden Tabellen beschrieben und anschließend in Beispielen konkret mit eingesetzten Benutzern und Zeiten angewendet.
Parameter (Spalte 1-4)¶
Folgende Parameter sind zwingender Bestandteil der time.conf:
Konfiguration | |
Parameter | Bedeutung |
services | Eine logische Liste der PAM-Service-Namen, für die die Regel gilt. Für Logins wird immer einfach login eingetragen. |
ttys | Eine logische Liste der Terminal Namen, für die diese Regel gilt. Empfehlung: * für alle Terminals (und virtuelle Konsolen) |
users | Eine logische Liste von Benutzernamen. Sie werden so voneinander getrennt: Benutzer01|Benutzer02 |
times | Eine logische Liste von Tagen und Zeitspannen. Beispiele in den folgenden Tabellen. |
# | Leitet einen Kommentar ein. Alles nach diesem Zeichen bist zum Zeilenende wird von pam_time ignoriert. Damit kann man eigene Anpassungen dokumentieren oder deaktivieren. |
Tagesbezeichnungen¶
Mögliche Bezeichnungen für Tage im Abschnitt times | |
Bezeichnung | Bedeutung |
Mo | montags |
Tu | dienstags |
We | mittwochs |
Th | donnerstags |
Fr | freitags |
Sa | sonnabends |
Su | sonntags |
Wk | Arbeitstage (work), Abkürzung für MoTuWeThFr |
Wd | an Wochenenden (weekend), Abkürzung für SaSo |
Al | an allen Tagen, Abkürzung für MoTuWeThFrSaSo |
Die Tage bestehen also jeweils aus zwei Zeichen. Sie können miteinander kombiniert werden. Dabei gibt es jedoch einige Besonderheiten zu beachten.
Besonderheiten bei Tagen¶
Besonderheiten bei der Kombination von Tagen | |
Kombination | Erklärung |
MoMo | Wiederholte Tage werden wie ungenannte Tage behandelt, also deaktiviert. MoMo hebt also den Montag auf, was dazu führt, dass in diesem Beispiel gar kein Tag aktiviert ist. |
MoWk | Verschiedene Tage werden wie Ausnahmen kombiniert, also die Teilmenge von der Gesamtmenge ausgeschlossen. Alle Wochentage außer Montage. |
AlFr | Alle Tage außer Freitag. |
Uhrzeitformat¶
Format der Uhrzeit-Angaben | |
Format | Erklärung |
HHMM | Stunde und Minute im 24-Stunden-Format |
HHMM-HHMM | Start- und Endzeit der Regel |
Mögliche Operatoren¶
Mögliche Operatoren für alle vier Parameter | |
Verfügbare Operatoren | Bedeutung |
! | Logisches "Nicht". Alles außer der folgende Parameter. |
& | Logisches "Und". Als Kombination zweier Parameter zwischen diesen platziert. Gilt für beide Elemente. |
| | Logisches "Oder". Als Oder zweier Parameter zwischen diesen platziert. Gilt für ein Element, welches zutreffen muss. |
* | Platzhalter für alle möglichen Elemente eines Parameters. Kann allein stehen oder ein Teilelement erweitern. Nicht verwendbar für Zeitangaben. |
Diese Konfigurationen sind sofort und ohne Neustart des Computers wirksam.
Hinweise zu SSH¶
Damit das auch mit SSHD zusammen funktioniert muss man in der /etc/ssh/sshd_config den Parameter UsePam
auf yes
setzen.
Beispiele¶
Kurze Beispiele zum Verständnis¶
Beispiele für die time.conf | |
Beispiel | Erklärung |
* ; * ; * ; Al0000-2400 | Für alle Anmeldesituationen ist jederzeit eine Anmeldung zulässig. Diese Regel muss man nicht selbst verwenden, da sie implizit immer am Anfang der Prüfung steht. |
* ; * ; * ; !Al0000-2400 | Für alle Anmeldesituationen ist niemals eine Anmeldung zulässig. Diese Regel wird man natürlich niemals verwenden wollen. |
* ; * ; alice ; !SuMoTuWeTh2200-0700 | Für alle PAM Services aus dem Verzeichnis /etc/pam.d auf allen virtuellen Konsolen und Terminals gilt für Benutzerin alice ein Anmeldeverbot von 22.00 Uhr bis 07.00 Uhr an allen Tagen, außer Freitag und Sonnabend. Hinweise: Für Logins ist login in erster Spalte empfohlen, und die Zeiträume schreibt man besser unter Vermeidung der Negation wie im folgenden Beispiel. |
* ; * ; alice ; SuMoTuWeTh0700-2200 | FrSa0000-2400 | Benutzerin alice darf sich von Sonntag bis Donnerstag nur im Zeitraum 07-22 Uhr anmelden, aber an Freitagen und Samstagen jederzeit. |
* ; * ; ! bob ; !Wk1230-1315 | Jeder außer bob muss an Werktagen die Mittagspause einhalten. (Eigentlich: … darf sich nur außerhalb der Mittagspause anmelden.) |
login;tty* & !pts*;du|ich;!Al0000-2400 | Benutzer du oder ich darf sich niemals an einer virtuellen Konsole (tty* ) anmelden (login ). An Terminals (pty* ) gilt diese Regel aber nicht, d.h. für Anmeldeversuche an diesen Stellen wird die Zeitanforderung gar nicht geprüft und ebenso nicht für andere Benutzer außer du oder ich . |
login ; * ; !tom ; WdMo0300-0400 | Jeder Benutzer außer tom (also betrifft die Regel auch root!) darf sich am Wochenende und an Montagen in der Zeit von 03.00 Uhr bis 04.00 Uhr (und nur dann!) an allen (* ) virtuellen Konsolen oder Terminals anmelden (login ). Beachte: Was tom darf, wird überhaupt nicht durch diese Regel eingeschränkt! (Eine solche Regel realisiert vermutlich nicht das, was der Systemverwalter erreichen wollte.) |
Nutzungszeit des Computers einschränken (vollständiges Anwendungsbeispiel)¶
Ziel ist eine leicht umsetzbare Lösung für eine Kindersicherung durch Beschränkung der Nutzungszeit, welche den Login außer am Wochenende (So-Do) 22 bis 7 Uhr verhindert. Sollte man zu der Zeit noch eingeloggt sein, bekommt man 20 min vor Schluss ein Hinweisfenster und danach fährt der Computer um 22 Uhr herunter. Ein erneuter Login soll durch eine Anmeldesperre bis 7 Uhr morgens nicht mehr möglich sein. Danach kann man den Computer wieder betreiben, bis er spätestens 22 Uhr wieder herunterfährt.
pam_time aktivieren und konfigurieren¶
Zunächst wird die Zeitsteuerung konfiguriert danach aktiviert, wie im Abschnitt Anwendung beschrieben. Die benötigten zwei Einträge am Ende der beiden Dateien kann man mit zwei echo-Befehlen in Verbindung mit tee automatisch vornehmen lassen, wenn man die gewünschten Werte einträgt:
echo '* ; * ; username ; !SuMoTuWeTh2200-0700' | sudo tee -a /etc/security/time.conf echo 'account required pam_time.so' | sudo tee -a /etc/pam.d/common-account
Man muss die Dateien also nicht manuell bearbeiten, sondern passt die Werte in diesen echo-Befehlen an und führt die Befehle aus. Das verhindert, dass man versehentlich in einem Editor wichtige vorhandene Systemeinstellungen in den Dateien zerstört und lässt sich bequem ohne besonderes Vorwissen ins Terminal kopieren.
Für username
trägt man den Nutzernamen des Kindes (in Kleinbuchstaben) ein. !SuMoTuWeTh2200-0700
ist die Uhrzeit der Anmeldesperre im Format HHMM-HHMM
(HH
=Stunde, MM
=Minute), wobei zuerst die Start- und dann die Endzeit eingetragen wird. Das "!
" bedeutet, dass zu der Zeit der Zugang gesperrt wird. SuMoTuWeTh
bedeutet gültig am "Sonntag Montag Dienstag Mittwoch Donnerstag" zu der eingetragenen Uhrzeit. Die Sperre ist also am Freitag (Fr
) und Samstag (Sa
) aufgehoben.
Hinweis:
Auf exakte Schreibweise des Formates achten! Keine Leerzeichen zwischen den Tagen!
Cron konfigurieren¶
Eine wirksame Sperre der Anmeldungkann leicht dadurch umgangen werden, indem sich der Benutzer zur gewünschten Sperrzeit einfach nicht ausloggt. Mit der Zeitsteuerung Cron kann man dieses Ausloggen in Sperrzeiten erzwingen. Daher ist dieser zusätzliche Schritt für eine wirksame zeitliche Zugangsbeschränkung im Sinne etwa einer Kindersicherung streng empfohlen bzw. nötig.
Ankündigung |
Hinweis:
Falls man Kubuntu benutzt, sollte man noch Zenity (Abschnitt „Installation“) nachinstallieren, damit das Kind ein Hinweisfenster vor dem Herunterfahren bekommt.
Dazu werden mit Root-Rechten[1] vier Zeilen ganz am Ende der Datei /etc/crontab eingetragen, welche für die Zeitsteuerung des Herunterfahrens verantwortlich ist. Auch in diesem Beispiel erfolgen die Eintragungen über echo-Befehle im Terminal.
echo '### kidstime' | sudo tee -a /etc/crontab echo '00 22 * * 1-4 root shutdown -h now' | sudo tee -a /etc/crontab echo '40 21 * * 1-4 username DISPLAY=:0 LANG=de_DE.UTF-8 zenity --info --text "Hallo liebes Kind. Bitte beende deine Aktivitäten. Für heute ist Schluss. In 20 min wird der Computer automatisch ausgeschalten..."' | sudo tee -a /etc/crontab echo '# Ende (als letzte Zeile der Crontab unbedingt benötigt!)' | sudo tee -a /etc/crontab
Zeilen 1 und 4 sind lediglich erläuternde Kommentare, welche in die Konfigurationsdatei /etc/crontab eingetragen werden sollten. Die letzte Zeile muss sogar eingetragen werden, da die letzte Zeile immer ein Kommentar oder eine eingefügte unsichtbare Leerzeile sein muss.
Zeile 2: 00 22
ist die Uhrzeit, zu der der Computer herunterfahren soll. Sie wird im Format MM HH
eingetragen. Im Beispiel fährt der Computer um 22.00 Uhr herunter und zwar am Wochentag 1-4
, von Sonntag zu zählen beginnend: 1
=Sonntag, 4
=Donnerstag.
Zeile 3: Um 21.40 Uhr, gekennzeichnet als 40 21
in Zeile 3, erfolgt ein Hinweisfenster beim zuerst (bzw. allein) eingeloggten Benutzer. 1-4
in dieser dritten Zeile ist nochmals die Festlegung der Wochentage. Als username
ist wieder der gewünschte Benutzer einzusetzen.
Links¶
pam_time 🇬🇧 - Manpage
http://tldp.org/HOWTO/User-Authentication-HOWTO/x115.html 🇬🇧 - mehr Hintergrundinformationen zu PAM
http://linuxwiki.de/PAM - Linuxwiki: Was man mit PAM noch alles machen kann
How to lock yourself out of the primary account temporarily? 🇬🇧 - pam_time in LightDM einbinden
Les restrictions horaires sous Linux 🇫🇷 im franz. Ubuntu-Wiki
kidtimer 🇬🇧 - Shell-Skript zur Einschränkung der Benutzerzeit
timekpr- und nanny-Ersatz - weitere Skript-Lösung