LightDM : désactiver la possibilité de se connecter à un bureau à distance

Sous ubuntu 12.10, par défaut, il est possible d’accéder à une autre machine depuis l’écran de connexion LightDM.
Actuellement, les protocoles supportés par cette fonctionnalité sont Citrix ICA, Microsoft RDP et Vmware View.

Cependant, il peut être utile de désactiver cette fonctionnalité. Pour ce faire, il faut éditer le fichier /etc/lightdm/lightdm.conf : et d’ajouter dans la section [SeatDefaults] la ligne :

greeter-show-remote-login=false

Xubuntu 12.04 : un lightdm au look Unity …

Dans cet article, nous avions vu comment donner un look « unity » au lightdm de xubuntu 11.10.

La version de lightdm fournie avec xubuntu 12.04 LTS apporte quelque modifications dans la procédure.

Par défaut le look de lightdm est le suivant :

Pour donner le look unity, il faut installer les paquets suivants :

sudo apt-get install gnome-settings-daemon indicator-session-gtk2 unity-greeter ubuntu-mono light-themes

Puis modifier le fichier /etc/lightdm/lightdm.conf :

[SeatDefaults]
user-session=xubuntu
greeter-session=unity-greeter

Nous allons également télécharger un logo xubuntu :

sudo wget -O /usr/share/pixmaps/xubuntu.png http://www.be-root.com/downloads/xubuntu/xubuntu.png

Contrairement à la version packagée avec la 11.10, la configuration de unity-greeter ne se fait plus via des fichiers de configurations classiques mais via gsettings ou dconf-editor sous l’identité lightdm :

sudo xhost +SI:localuser:lightdm
sudo su lightdm -s /bin/bash
gsettings set com.canonical.unity-greeter background /usr/share/xfce4/backdrops/xubuntu-precise-right.png
gsettings set com.canonical.unity-greeter logo /usr/share/pixmaps/xubuntu.png

Si nous désirons ne pas afficher la grille (points blancs) sur l’écran de connexion, nous pouvons également taper :

gsettings set com.canonical.unity-greeter draw-grid false

L’apparence de ligthdm devient alors :

LightDM sous Ubuntu 11.10 : Problème avec les homedirs NFS et l’option root_squash

LightDM 1.0.6 est le gestionnaire de connexions fourni par défaut sous (X)ubuntu 11.10.
Hors il s’avère qu’il est impossible de démarrer une session lorsque le répertoire personnel de l’utilisateur cherchant à se logguer se trouve sur un partage NFS possédant dans ses options d’export l’option root_squash et que les droits du répertoire personnels sont à 700.

L’option root_squash permet d’éviter que le root de la machine cliente ait les droits root sur le serveur NFS en mappant son UID(0) vers l’UID de l’utilisateur Nobody.

En regardant le code source de lightdm 1.0.6, dans le fichier session.c, nous y voyons :

    /* Change working directory */
    if (chdir (user_get_home_directory (user)) != 0)
    {
        g_warning ("Failed to change to home directory %s: %s", user_get_home_directory (user), strerror (errno));
        _exit (EXIT_FAILURE);
    }

    /* Change to this user */
    if (getuid () == 0)
    {
        if (initgroups (user_get_name (user), user_get_gid (user)) < 0)
        {
            g_warning ("Failed to initialize supplementary groups for %s: %s", user_get_name (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setgid (user_get_gid (user)) != 0)
        {
            g_warning ("Failed to set group ID to %d: %s", user_get_gid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setuid (user_get_uid (user)) != 0)
        {
            g_warning ("Failed to set user ID to %d: %s", user_get_uid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }
    }

Nous voyons donc que changement de répertoire a lieu avant le changement d’UID/GID. Sur un système classique cela ne pose pas de soucis car le root a toujours le droit de traverser un répertoire.
Cependant, du fait de l’option root_squash au niveau du partage NFS, ceci n’est plus vrai et donc le programme s’arrête suite à la vérification de la condition (chdir (user_get_home_directory (user)) != 0).

Pour venir à bout de ce problème, nous avons trois possibilités :

– Enlever l’option root_squash mais ceci ajoute une brèche dans la sécurité du service NFS
– Passer les droits sur les répertoires personnels des utilisateurs en 701. De cette manière, l’utilisateur root mappé pourra traverser le répertoire et donc cela ne générera plus d’erreur. Cela peut néanmoins être contraignant s’il y a beaucoup de homedirs à traiter.
– Modifier le code source de LightDM pour inverser la procédure :

    /* Change to this user */
    if (getuid () == 0)
    {
        if (initgroups (user_get_name (user), user_get_gid (user)) < 0)
        {
            g_warning ("Failed to initialize supplementary groups for %s: %s", user_get_name (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setgid (user_get_gid (user)) != 0)
        {
            g_warning ("Failed to set group ID to %d: %s", user_get_gid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setuid (user_get_uid (user)) != 0)
        {
            g_warning ("Failed to set user ID to %d: %s", user_get_uid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }
    }
    /* Change working directory */
    if (chdir (user_get_home_directory (user)) != 0)
    {
        g_warning ("Failed to change to home directory %s: %s", user_get_home_directory (user), strerror (errno));
        _exit (EXIT_FAILURE);
    }

Ainsi, on change l’UID/GID avant de traverser le répertoire. En tout état de cause, un utilisateur doit avoir accès à son répertoire personnel et si ce n’est pas le cas, alors une erreur sera signalée.

Pour plus de facilité, j’ai reconstruis des paquets (X)ubuntu corrigeant cette erreur :

L’installation, après téléchargement des paquets se fait a l’aide de la commande :

sudo dpkg --install xxxxxxxx.deb