7.3. Kiosk 用户帐户

7.3.1. 特征
7.3.2. 限制和安全防护
7.3.3. 管理 Kiosk 用户池

所有计算机应用程序都必须在某种类型的用户帐户下运行,kiosk 会话也不例外。kiosk 模式管理着一个本地用户帐户池,目的是为了让真正的用户无需到 Sun Ray Software 底层操作系统进行验证即可访问应用程序。如果 kiosk 服务确定管理员已将系统策略或当前令牌 ID 配置为运行 kiosk 会话,则会向系统授予未经验证的访问。

尽管 kiosk 用户帐户不会对真正的用户响应,但它们在 kiosk 模式中的角色能够让真正的用户以未经验证的方式运行管理员定义的应用程序。如果没有 kiosk 用户帐户,kiosk 会话就无法运行。

7.3.1. 特征

Kiosk 用户帐户具有以下特征:

  • 默认命名模式为 utkux,其中 x 的范围为 0 到 N-1,且 N 是指定要创建的 kiosk 用户帐户数。

  • 如果默认命名前缀 utku 有可能发生冲突,则可选择其他命名前缀。

  • UID 默认从 150000 开始(可指定起始 UID)。

  • UID 范围一定是连续范围。

  • 起始目录位于 /var/opt/SUNWkio/home/$USER

  • 仅限本地帐户 (/etc/passwd)。不支持集中式 NIS 或 LDAP kiosk 用户帐户。

注意

如果集中式名称服务(例如 NIS 或 LDAP)中存在名为 utku* 的帐户,则 utuseradm 命令将会失效。您必须将该主机从名称服务中移除,或暂时对服务器进行重新配置,使其只通过 nsswitch.conf 文件使用用户和组文件。

7.3.2. 限制和安全防护

为限制 kiosk 用户可能对系统造成的影响并避免未经验证的访问变为无法控制的访问,kiosk 用户帐户存在以下限制和安全防护:

  • Kiosk 用户帐户被锁定为无法进行常规登录(GDM、SSH、Telnet 等)。

  • Kiosk 用户帐户属于对系统拥有最低权限的 UNIX 组 (utkiosk)。

  • 同一服务器上同一时间内的两个会话不得使用同一 kiosk 用户帐户。

  • 会话结束后,系统会完全清除与 kiosk 用户帐户相关联的起始目录。

  • 会话开始时,系统会创建与 kiosk 用户帐户相关联的起始目录,然后从 prototypes 目录进行填充。

  • kiosk 会话结束后、新会话开始前,系统会关闭 kiosk 用户帐户拥有的残余进程。

  • kiosk 会话结束、新会话开始前,系统会删除 kiosk 用户帐户拥有的 /tmp/var/tmp 目录中的所有文件。

7.3.3. 管理 Kiosk 用户池

如果在 Sun Ray Software 初始安装和配置后需要更改 kiosk 用户帐户数,则可使用位于 /opt/SUNWkio/bin 目录下的 kioskuseradm 命令在初始配置之后对用户池进行管理。使用此命令,您可以查看池设置、了解正在使用的 kiosk 帐户数量并修改池设置(例如增加或减少 kiosk 用户帐户数)。增加或减少用户池可以在 kiosk 会话处于活动状态时进行,但更改其他池设置(例如组成员或 UID 范围)则需要在没有活动的 kiosk 会话时进行。

注意

kiosk 用户池中的 kiosk 用户帐户必须具有连续的用户 ID。如果在对 kiosk 用户帐户的初始池进行配置后添加了任何用户帐户,则无法使用 kioskuseradm extend 命令。extend 选项依赖于具有连续用户 ID 的 kiosk 用户帐户。

要解决此问题,必须分别使用 kioskuseradm deletekioskuseradm create 命令删除所有 kiosk 用户帐户然后重新创建。该进程要求您停止 Sun Ray 服务器上的 Sun Ray 服务。如果您有故障转移组,则分别在每台 Sun Ray 服务器上执行这些步骤可以避免用户停机时间。