Zugangskontrolle bei XDMCP
1. Beim klassischen XDM
Beim "alten" xdm spielen für den Netzwerkzugriff zwei Dateien eine
Rolle:
- /etc/X11/xdm/Xaccess :
Hier wird eingestellt, welche
IP-Adressen bzw. Rechnernamen überhaupt vom X-Display-Manager (xdm)
bedient werden. Eine pauschale Freigabe sieht folgendermaßen aus:
*
#any host can get a login window
*
CHOOSER
BROADCAST
#any indirect host
can get a chooser
Die zweite Zeile erlaubt den Zugriff auf den "Chooser" für das
XDMCP-Indirect-Verfahren.
In der Regel finden sich in dieser Datei ausführliche Kommentare mit
Erklärungen und Beispielen.
- /etc/X11/xdm/xdm-config :
Diese Datei enthält
eine Reihe von Grundeinstellungen für xdm. Unter
Umständen
fatal für den Netzwerkzugriff kann die letzte Zeile sein:
DisplayManager.requestPort:
0
Die Port-Angabe 0 bewirkt, dass xdm überhaupt
nicht auf
das Netzanfragen "hört". Das ist - aus
Sicherheitsgründen
- die Default-Einstellung bei vielen neueren Linux-Distributionen! Abhilfe
schafft hier die Angabe des richtigen Ports:
DisplayManager.requestPort:
177
oder ein einfaches Auskommentieren der Zeile.
2. Bei KDE
Die KDE-Distribution enthält einen eigenen X-Display-Manager, den kdm.
In den KDE-Versionen kleiner 3 greift kdm
hinsichtlich der Zugangskontrolle
auf die oben genannten Konfigurationsdateien des xdm
zu. Es gilt
für diese Versionen das oben Gesagte also eins-zu-eins für kdm.
Ab KDE-Version 3 regelt den Netzwerkzugriff eine kdm-spezifische
Konfigurationsdatei:
/opt/kde3/share/config/kdm/kdmrc
Relevant sind darin die Zeilen
[Xdmcp]
Enable=true
Willing=/etc/X11/xdm/Xwilling
Xaccess=/etc/X11/xdm/Xaccess
Nach der Installatioin steht hier in der Regel Enable=false;
das muss natürlich in true geändert werden.
Ansonsten
gelten hier die Angaben in /etc/X11/xdm/Xaccess.
3. Bei gnome
Auch die gnome-Distribution verfügt über einen eigenen
X-Display-Manager,
den gdm, der von Anfang an den Netzwerkzugriff
über eine eigene
Konfigurationsdatei gesteuert hat:
/etc/opt/gnome/gdm/gdm.conf
Interessant sind hier die Zeilen
[xdmcp]
# Distributions: Ship with this off. It is never a safe thing
to leave
# out on the net. Alternatively you can set up
/etc/hosts.allow and
# /etc/hosts.deny to only allow say local access.
Enable=false
HonorIndirect=true
Natürlich muss auch hier Enable=true
gesetzt werden,
um überhaupt Zugriff über das Netzwerk zu bkommen.
4. Bei CDE
Auf Linux eher selten, dafür aber der
Standatd-X-Desktop auf
allen gängigen kommerziellen UNIXen: der CDE. Die Zugangskontrolle
erledigt
hier die Datei
/usr/dt/config/Xaccess
deren Syntax identisch mit der Xaccess-Datei für xdm
auf Linux ist.
|