[gelöst] Debian WLAN Konfiguration für Benutzer sperren

[joe2017]

Hallo zusammen,

Kann man unter debian (gnome) die Konfiguration bzw. das beitreten in ein weiteres WLAN Netzwerk für Benutzer sperren?

Ich möchte einem WLAN beitreten und verhindern, dass ein normaler Benutzer einem anderen WLAN beitritt.

Ist das irgendwie möglich?

[smutbert]

Du könntest den network-manager deinstallieren oder deaktivieren und das Netzwerk mittels systemd-networkd oder »/etc/network/interfaces« (ifupdown) konfigurieren.

Möglicherweise gibt es auch Möglichkeiten beim network-manager zu verhindern, dass Benutzer etwas an der Netzwerkkonfiguration ändern können, aber ich glaube das würde eine eher unübersichtliche Lösung, weil der network-manager ja genau dafür gemacht ist, dass man (Benutzer) die Netzwerkverbindungen flexibel ändern können.

[DeletedUserReAsG]

Ich würde schauen, welchen Mechanismus der Networkmanager nutzt, um dem User die zur Manipulation des Interfaces und der Netzwerkkonfiguration notwendigen Rechte einzuräumen, und ihm die dort entziehen. Mit einiger Wahrscheinlichkeit wird es über polkit geregelt.

[mat6937]

... verhindern, dass ein normaler Benutzer einem anderen WLAN beitritt.

Ist dieser normale Benutzer, Mitglied in der Gruppe netdev? Wenn ja, dann teste mal nachdem Du diesem normalen Benutzer, die Mitgliedschaft in der Gruppe netdev entzogen hast.

[joe2017]

Leider ist mein Benutzer nicht in dieser Gruppe. Ich habe einen neuen Benutzer Bsp. Testuser mit der Gruppe Testuser angelegt.

[mat6937]

Leider ist mein Benutzer nicht in dieser Gruppe.

OK. Evtl. ist dann die Mitgliedschaft in einer anderen Gruppe relevant. Wie ist die Ausgabe von:

Code: Alles auswählen

id
wpa_cli scan

, wenn Du als dieser Benutzer angemeldet bist? Wie ist die Ausgabe von:

Code: Alles auswählen

ls -la /var/run/wpa_supplicant

, wenn eine WLAN-Verbindung hergestellt ist?

[joe2017]

Da muss ich mir jetzt erst mal wieder ein Device mit WLAN besorgen.
Mein Test Device ging gestern raus. Ich werde die kommenden Tage mal prüfen was hier zurückgegeben wird.

[JTH]

Wie niemand schreibt, ist beim Network-Manager – den du unter Gnome normalerweise verwendest – PolicyKit für die Berechtigungen zuständig.

Standardmäßig darf jeder Benutzer eigene Verbindungen anlegen und Mitglieder der Gruppen netdev und sudo dürfen systemweite Verbindungen bearbeiten (siehe org.freedesktop.NetworkManager.settings.modify.own in /usr/share/polkit-1/actions/org.freedesktop.NetworkManager.policy und /var/lib/polkit-1/localauthority/10-vendor.d/org.freedesktop.NetworkManager.pkla).

Der Network-Manager hat einige Aktionen, die man erlauben oder verbieten kann:

Code: Alles auswählen

~$ grep id= /usr/share/polkit-1/actions/org.freedesktop.NetworkManager.policy
  <action id="org.freedesktop.NetworkManager.enable-disable-network">
  <action id="org.freedesktop.NetworkManager.reload">
  <action id="org.freedesktop.NetworkManager.sleep-wake">
  <action id="org.freedesktop.NetworkManager.enable-disable-wifi">
  <action id="org.freedesktop.NetworkManager.enable-disable-wwan">
  <action id="org.freedesktop.NetworkManager.enable-disable-wimax">
  <action id="org.freedesktop.NetworkManager.network-control">
  <action id="org.freedesktop.NetworkManager.wifi.scan">
  <action id="org.freedesktop.NetworkManager.wifi.share.protected">
  <action id="org.freedesktop.NetworkManager.wifi.share.open">
  <action id="org.freedesktop.NetworkManager.settings.modify.own">
  <action id="org.freedesktop.NetworkManager.settings.modify.system">
  <action id="org.freedesktop.NetworkManager.settings.modify.hostname">
  <action id="org.freedesktop.NetworkManager.settings.modify.global-dns">
  <action id="org.freedesktop.NetworkManager.checkpoint-rollback">
  <action id="org.freedesktop.NetworkManager.enable-disable-statistics">
  <action id="org.freedesktop.NetworkManager.enable-disable-connectivity-check">

Ich denke, ein Verbieten der settings-Aktionen wäre das was du suchst:

Code: Alles auswählen

~$ cat /etc/polkit-1/localauthority/50-local.d/no-network-settings-for-joe2017.pkla
[No network settings for user joe2017]
Identity=unix-user:joe2017
Action=org.freedesktop.NetworkManager.settings.*
ResultAny=no

Das bezieht sich aber auch auf Kabelverbindungen. Ob da noch eine der anderen Aktionen dazu muss – oder sogar ein rigoroses

Code: Alles auswählen

Action=org.freedesktop.NetworkManager.*

sinnvoll ist – müsstest du ausprobieren.

Um dir nachträgliche Administration zu erleichern, ginge auch ein

Code: Alles auswählen

ResultAny=admin_auth

Siehe man pklocalauthority und oben erwähnte Dateien.

[joe2017]

Hi JTH,

prinzipiell hat sich dein Vorschlag Sinnvoll angehört. Jedoch funktioniert das irgendwie nicht.
Die angelegte /etc/polkit-1/localauthority/50-local.d/test.pkla bewirkt irgendwie gar nichts. Ich habe testhalber auch mal nur folgende Einstellung eingetragen
org.freedesktop.NetworkManager.enable-disable-wifi

Kann man irgendwie testen ob die pkla Datei verwendet wird?

[joe2017]

Ich habe jetzt die Syntx richtig eingetragen und jetzt funktioniert es.
Anbei meine Config:

Code: Alles auswählen

[my configuration]
Identity=unix-user:Guest
Action=org.freedesktop.NetworkManager.*
ResultAny=no
ResultInactive=no
ResultActive=auth_admin

Danke nochmal für den Tipp!

[JTH]

Code: Alles auswählen

ResultAny=no
ResultInactive=no
ResultActive=auth_admin

Ah ja, ich bin mir jedes Mal nicht sicher, ob alle Result* notwendig sind oder ResultAny im Einzelfall reicht Und die manpage finde ich dazu nicht eindeutig.