PolicyKit

PolicyKit je systém pokročilé správy oprávnění uživatelů, který je v Ubuntu dostupný od vydání Ubuntu 8.04 Hardy Heron.

Jednou z oblastí, kde jste se s PolicyKit setkali aniž o tom asi víte, je spouštění některých nástrojů pro správu systému. Zatímco dříve systém vyžadoval okamžité zadání hesla správce systému k získání potřebných práv, nově se nástroj spustí ihned a potřebná práva získáte teprve pomocí tlačítka Odemknout.

Toto je vhodné zvláště u nástrojů, kde je možné některé změny dělat i bez potřebných práv.

Příkladem může být nástroj pro správu uživatelů a skupin, kde bez patřičných práv můžete upravovat některá nastavení „svého“ uživatele, ale plnou kontrolu získáte právě až po použití tlačítka Odemknout.

Další (dalo by se říci, že hlavní) funkcí PolicyKit je nastavení speciálních práv pro jednotlivé uživatele, kteří pak mají možnost bez jakéhokoli ověření provádět vybraná nastavení, která jsou jinak vyhrazena jen správci systému. Těmto nastavením se také budeme v tomto návodu věnovat.

PolicyKit umožňuje přidat běžným uživatelům opravdu širokou škálu oprávnění, což může u příliš benevolentního nastavení představovat značné bezpečnostní riziko!

Instalace

PolicyKit je standardní součástí systému od vydání Ubuntu 8.04 Hardy Heron.

Nainstalujte balík policykit-gnome.

Použití

Nástroj spusťte z nabídky Systém → Správa → Oprávnění, případně příkazem polkit-gnome-authorization.

Hlavní okno nástroje můžete vidět na snímku umístěném výše. V levé části okna se nachází nabídka, ve které máte na výběr mezi jednotlivými akcemi (chcete-li nastaveními), kterým můžete patřičně nastavit oprávnění. V pravé části okna je nahoře popsána vybraná akce (v tomto případě změna frekvence (škálování) procesoru) a dole potom jednotlivá explicitní a implicitní oprávnění (vysvětleno níže).

Implicitní oprávnění jsou oprávnění „globální“ - toto nastavení se vztahuje na všechny uživatele systému a rozhoduje se pouze podle toho, zda daný uživatel splňuje dané kritérium či nikoli.

  • Kdokoli - jakýkoli uživatel bez dalších podmínek
  • Konzola - uživatel musí přihlášen na konzoli (v nějakém sezení)
  • Aktivní konzola - jako předchozí, ale musí se jednat o aktivní sezení

Jednotlivá oprávnění jsou pak již celkem jednoznačná - od prostého Ano/Ne po různé podmínky na ověření (heslem správce systému, vlastním heslem…).

Explicitní oprávnění představují oprávnění udělená (nebo naopak zakázaná) jmenovitě jednotlivým uživatelům.

Základní volbou je zde udělení oprávnění (pomocí tlačítka Udělit…) a naopak zablokování (resp. udělení „záporného oprávnění“) některé jinak běžně dostupné „akce“ (pomocí tlačítka Blokovat…).

Kromě jména vybraného uživatel je zde opět možnost nastavit určitá kritéria, za kterých bude toto oprávnění přiznáno/zablokováno.

  • Žádné - nejsou aplikována žádná kritéria, „akce“ je vždy povolena/blokována
  • Aktivní sezení - uživatel musí být přihlášen v aktivním sezení
  • Místní konzole - uživatel musí být přihlášen lokálně (tedy nikoli přes SSH atp.)
  • Aktivní sezení v místní konzole - kombinace předchozích dvou

Odkazy

Aktualizace: Informace v tomto návodě jsou příliš zastaralé a potřebují aktualizaci pro současné poměry. Více...