Settare una password per sudo diversa rispetto a quella del login

[fehu]

Salve
a lavoro stiamo realizzando un callcenter composto da 6 postazioni che devono solo accedere ad un'applicazione intranet, ho insistito ed alla fine sono riuscito a far installare ubuntu per motivi economici e di sicurezza, però c'è una cosa che non sono riuscito a fare...

Dobbiamo fare in modo che gli operatori non possano apportare modifiche al sistema, limitandosi ad aprire firefox e spegnere il computer, ma ogni volta che si prova a fare qualcosa compare la finestra di elevazione dei privilegi, e basta inserire la stessa password utilizzata per il login.
Come posso fare?
L'ideale sarebbe far utilizzare agli operatori un account con i privilegi ridotti all'osso, ma mantenere la possibilità per un amministratore di intervenire inserendo la propria password.

[Ubuket]

L'ideale sarebbe far utilizzare agli operatori un account con i privilegi ridotti all'osso, ma mantenere la possibilità per un amministratore di intervenire inserendo la propria password.

la risposta ce l'hai nella tua domanda.. Tu da amministratore crei un nuovo utente es: Operatore1 e li metti una password per l'utente Operatore1 e allo stesso tempo li dai anche i permessi che vuoi..

http://wiki.ubuntu-it.org/Amministrazio ... 8utente%29
http://help.ubuntu-it.org/8.10/ubuntu/s ... ement.html
http://www.comefarea.it/linuxandco/gestioneutenti/

questi sono dei esempi, al massimo se trovi difficoltà, chiedi pure o meglio ancora apri un nuovo topic con un titolo ben preciso. ciao

[fehu]

Si infatti, io per fare questa cosa semplicissima mi ero messo a pasticciare con il terminale 

Adesso ho creato un utente di tipo Unprivileged-user, con tutto disattivato, ma per quello che è il nostro scopo è ancora poco.
Ho installato dal repository l'applicazione Lock, che effettivamente blocca alcune cose in più come l'accesso al terminale e la modifica dei pannelli, ma non è protetto da password  (mad)
In pratica se un operatore volesse potrebbe tranquillamente aprire Lock e riattivarsi quel che vuole.

non esiste un'applicazione per chioschi internet?

[hitman]

In teoria se non sono amministratori non possono fare assolutamente nulla al sistema, se volessero installare/rimuovere qualcosa dovrebbero inserire la pass di root che lo non conoscono.

[domx]

puoi anche fare in modo che il login entri in automatico così non hanno bisogno di inserire la password

[fehu]

effettivamente sono molto limitati in questo modo, ma vorremmo proprio impedirgli di poter fare qualunque cosa,
o almeno di richiedere la password per fare qualunque cosa, anche chiudere i programmi

[hitman]

Una volta loggati, loro cosa possono fare per voi?
Poi si vede cosa effettivamente si riesce a fare.

[fehu]

Appena eseguito l'accesso deve subito partire firefox con l'estensione r-kiosk che lo mette a tutto schermo disattivando tutti i menu del browser.
In questo momento per chiudere il browser basta premere Alt-F4, ed a quel punto possono fare più cose di quel che gradirei.

[hitman]

Vero.
Ho provato, mi ha tolto tutto e non potevo più muovermi dal sito dov'ero. O navigavo lì o nulla, ma con alt+f4 si usciva ed accedevo al pc. Però se apri nuovamente firefox sei nella condizione precedente, con r-kiosk attivo.

Però se vai nelle Preferenze>Scorciatoie della tastiera e disabiliti alt+f4 tu firefox non lo chiudi più.

[fehu]

Però se vai nelle Preferenze>Scorciatoie della tastiera e disabiliti alt+f4 tu firefox non lo chiudi più.

si lo so è una delle possibilità che avevo previsto, ma se c'è un problema sulla macchina l'amministratore deve essere in grado di intervenire nella stessa sessione senza dover cambiare account

più avanti realizzeremo (o installeremo) programmi che monitorino anche le chiamate registrandole etc, ed a quel punto sarà veramente necessario bloccarli a firefox senza possibilità di uscirne

in questo momento l'elenco delle chiamate spunta da una pagina intranet, quindi per adesso roba molto semplice, addirittura deve essere l'operatore a leggere il numero ed a comporlo, ma più avanti vogliamo fare qualcosa di più completo e complesso

lock è un buon punto di partenza, ma se "dimenticano" loro stessi di impostare l'accesso al programma tramite password...

[fehu]

Ah! un'altra cosa fondamentale

l'operatore non deve essere in grado di cambiare la propria password

[hitman]

Sinceramente l'unico suggerimento che posso darti è di fare delle prove magari in macchina virtuale, come d'altronde sto facendo io.