jueves, 15 de abril de 2010

Usuarios "especiales" ( para torpes): usuario "invitado", y usuarios "noadmin"

La idea es tener en el sistema, además del usuario con permisos de administrador ( el usuario que se crea al instalar el sistema ) que es el que normalmente usamos, otro usuario "especial" para "prestar" a ese amigo, vecino, hijo, pariente en general, que es un manazas, desmañado,  y del que no nos fiamos, y del que tenemos miedo que pueda estropearnos el sistema.

Hay varias opciones a elegir, o incluso podemos tener varios usuarios "especiales" para estos casos.

Usuario "Invitado":

Para tener un usuario "invitado" tenemos que instalar desde nuestro usuario normal o anfitrión, con Synaptic el paquete gdm-guest-session.

Para iniciar la sesión en el usuario invitado ejecuta en la terminal,  en la sesión del usuario anfitrión,  el comando: /usr/share/gdm/guest-session/guest-session-launch ; o  puedes crear en el panel un lanzador de aplicaciones con ese comando, poniendo en "tipo": aplicación en terminal.

Al ejecutar ese comando se sale de la sesión del usuario anfitrión y  se entra automáticamente, sin contraseña alguna,  en una sesión del usuario "invitado": se ha creado un usuario temporal o invitado con un directorio /home temporal ( en /tmp/guest-home.***** - los asteriscos son sustituidos por letras y números, en cada sesión de invitado ya que el usuario que se crea cada vez es temporal y distinto, por eso no se guardan los cambios) y con privilegios restrictivos: no puede leer los archivos de /home de otro usuario, y no puede realizar ningún cambio permanente al sistema; los archivos que quieras guardar los tienes que guardar en un pendrive, disco duro externo, o partición no del sistema, pero no en su carpeta de usuario, ya que ésta es temporal. Desde este usuario no se pueden leer los archivos del usuario administrador.

Este usuario no podrá cambiar nada del sistema, pues aunque toque algo en lo que se le pida la contraseña de root, que no tiene por que saberla, y  la sepa y la ponga no se le reconoce.

Una vez se sale de la sesión  del usuario invitado se vuelve a la sesión del usuario anfitrión ( pidiendo la contraseña, para que el usuario invitado no pueda acceder al usuario normal ), en el mismo estado en que estaba todo ( incluso los programas que estaban abiertos,) cuando iniciaste el usuario invitado.

No se puede acceder al usuario invitado desde la pantalla del login, sino que tiene que ser el usuario normal/anfitrión, el que desde su sesión inicie la sesión del usuario invitado, es decir el usuario anfitrión es el que invita al otro usuario, éste no puede iniciar la sesión por si mismo. Es una especie de "usuario de usar y tirar".

Me gusta bastante, pero le veo el inconveniente de que desde el usuario normal no se pueda configurar como sera la sesión de invitado, por ejemplo no se puede configurar el menú de aplicaciones.

-----------------------

Usuario con permisos muy restringidos (noadmin1):

Otra forma de crear un usuario, desde el usuario administrador, con usos muy restringidos, pero que si que se puede acceder a él desde la pantalla de login:
1- Instalamos con synaptic el paquete sabayon, que aparecerá en Sistema->Adiministración-> Editor de Perfiles de Usuario
- Instalamos con Synaptic el programa pessulus, que aparecerá en Sistema->Administración->Editor de Restricciones

2- Creamos,  desde nuestra sesión de usuario principal: Sistema->Administración->usuarios y grupos, un usuario ( por ejemplo noadmin1 ) con perfil de usuario: "usuario sin privilegios"



3- Ejecutamos el Editor de Perfiles de Usuario con el comando: gksu sabayon



- Añadimos un Perfil ( le llamamos por ejemplo perfil "noadmin" ); editamos dicho perfil: se abre una ventana con una sesión predeterminada en la que modificamos:
--- el menú de aplicaciones:  para que no se tenga acceso a las aplicaciones que no queramos que este usuario pueda acceder, borramos del menú de aplicaciones el acceso al Editor del menú de aplicaciones para que este usuario no pueda modificarlo, y borramos el acceso a todas las entradas de Sistema->Administración. En el menú de aplicaciones dejamos como navegador solo el Epiphany browser, quitamos el Firefox u otro navegador que tengamos.
--- modificamos también a nuestro gusto el panel y los iconos que aparecen en él.



Hacemos clik en Editar->Bloquear: se abre el Editor de Restricciones y en con él ponemos aún mas restricciones a este usuario, por ejemplo:




impedir el uso de la linea de comandos
impedir guardar en disco
impedir el uso de la impresora
bloquear los paneles
bloquear miniaplicaciones de las que se instalan en el panel
poner restricciones varias en el navegador Epiphany

Guardamos los cambios y salimos del editor de perfiles de usuario; se cierra la ventana de edición del editor de perfil de usuario; seleccionamos el perfil noadmin y hacemos clik en usuarios y seleccionamos el usuario noadmin1 para que se le aplique el perfil noadmin ( cuidado: no aplicar el perfil noadmin a todos los usuarios, porque también se aplicaría al usuario administrador ).



4- Salimos de la sesión de usuario administrador, y desde la pantalla de login entramos en el usuario nuevo creado ( usuario noadmin1 ).
Con todo esto tendremos un usuario noadmin1, al que se puede acceder desde la pantalla de inicio de sesión, pero que tiene muchas restricciones de uso. Los archivos que quieras guardar los tienes que guardar en un pendrive, disco duro externo, o partición no del sistema, o en su carpeta de usuario. Desde este usuario no se pueden leer los archivos del usuario administrador.



---------------------

Usuario con permisos muy restringidos (noadmin2):

Otra forma de crear un usuario ( me la ha aportado el usuario de Guadalinex Ghasthelm ) al que si que se puede acceder desde la pantalla de login, pero que todos los cambios que se hagan se borraran al salir de la sesión es:

1- Creamos,  desde nuestra sesión de usuario principal: Sistema->Admininistración->usuarios y grupos, un usuario ( por ejemplo noadmin2 ), con perfil de usuario: "usuario sin privilegios".

2-Editamos el archivo /etc/gdm/PostSession/Default, con la siguiente orden en la terminal: sudo gedit /etc/gdm/PostSession/Default y lo editamos de forma que quede así:

#!/bin/sh
rm -rf /home/noadmin2
mkdir /home/noadmin2
chown -R noadmin2:noadmin2 /home/noadmin2

exit 0

( en verde las líneas que hemos añadido )



Una vez guardado el archivo /etc/gdm/PostSession/Default  cada vez que acabe una sesión todo el home de noadmin2 es borrado y creado de nuevo, con todas las carpetas por defecto del sistema; los archivos que quieras guardar los tienes que guardar en un pendrive, disco duro externo, o partición no del sistema, pero no en su carpeta de usuario, ya que ésta es temporal. Desde este usuario no se pueden leer los archivos del usuario administrador.

Es decir es un usuario con características del usuario "invitado" ( no se guardan los cambios hechos ) , y con características del usuario noadmin1 : si que se puede acceder a este usuario desde la pantalla de login, pero no podemos modificar, desde el usuario administrador,  el aspecto de su sesión, ya que se usa la sesión predeterminada del sistema.

Usuario con permisos muy restringidos (noadmin3):

Podemos ahora también crear un tipo de usuario de forma similar al noadmin1 : - con perfil de permisos restringidos - con el perfil de usuario modificado con gksu sabayon y pessulus, pero modificando además el archivo /etc/gdm/PostSession/Default como se hacen en la creación del usuario noadmin2.

A este tipo de usuario se puede acceder desde la pantalla de login; puede modificarse, desde el usuario administrador - con el editor de perfiles -,  el aspecto de su sesión; cada vez que acabe una sesión todo el home del usuario es borrado y creado de nuevo; los archivos que quieras guardar los tienes que guardar en un pendrive, disco duro externo, o partición no del sistema, pero no en su carpeta de usuario, ya que ésta es temporal.

----------------------------------------

El acceso a cualquiera de los usuarios noadmin es a través de la pantalla de login, por lo que normalmente hay que poner la contraseña; pero también se puede configurar la pantalla del login de forma que se pare durante x segundos para poder elegir que usuario queremos usar, y que si no se elige ninguno, entre por defecto en uno de ellos, por ejemplo en un usuario noadmin, de forma que si prestamos el pc a un amigo con decirle que no toque nada hasta llegar al escritorio, se conseguirá que pase eso exactamente, sin que se le pida la contraseña.

Para configurar de esta forma la pantalla de login: desde el usuario administrador: Sistema->Administración->Pantalla de acceso: ahí es desde donde se puede elegir el usuario al que se entrara por defecto sin pedir contraseña, y cuanto tiempo esta en pausa para poder elegir la entrada con otro usuario.

-----------------------------------------

En http://library.gnome.org/users/sabayon/stable/ hay una guía del programa Editor de Perfiles de Usuario ( Sabayon )



-----------------------------------------

No hay comentarios:

Publicar un comentario en la entrada

A la vez que haces un comentario, por favor da una puntuación al tema: malo, normal, bueno o muy bueno.
Gracias.