Alladin etoken и блокирование экрана

[Stanislav Vlasov]

Делаю рабочую станцию для пользователей.
gnome2, etoken для входа и т.п.
Всё работает, kerberos + ldap и всё такое.
Но есть небольшая засада. Требуется, чтобы при выдёргивании етокена из
ридера блочился экран.

Написано два скрипта:
Первый следит за токеном и пишет в лог. Краткое содержание (без
обвязки для /etc/init.d):
/usr/bin/pcsc_scan >/tmp/.pcsc_scan

Второй запускается из /etc/X11/Xsession.d/90pcsc-scrnsv (XX заменяются
на номер карточки):
#!/bin/bash

PCSCFILE=/tmp/.pcsc_scan

while inotifywait $PCSCFILE

do

tail -n 3 $PCSCFILE | grep "XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX"

if [ $? == 0 ]; then
echo unlocked
gnome-screensaver-command -d
else
tail -n 3 $PCSCFILE | grep removed
if [ $? == 0 ]; then
gnome-screensaver-command --lock -a
fi
fi
done

Есть одна маааленькая засада - скрипт срабатывает один раз и потом не
работает, хотя и остаётся в памяти.

Вобщем, вопрос такой: как правильно блокировать экран при выдёргивании етокена?

--
Stanislav

[Boris Savelev]

23 августа 2011 г. 9:35 пользователь Stanislav Vlasov
<stanis...@gmail.com> написал:
> gnome-screensaver-command -d
> gnome-screensaver-command --lock -a

запускать в фоне?
gnome-screensaver-command -d &
gnome-screensaver-command --lock -a &

--
Boris

--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/CAGodH5eSG0rJHSDR8er9d05E...@mail.gmail.com

[Stanislav Vlasov]

2011/8/23 Boris Savelev <boris....@gmail.com>:

> 23 августа 2011 г. 9:35 пользователь Stanislav Vlasov
> <stanis...@gmail.com> написал:
>> gnome-screensaver-command -d
>> gnome-screensaver-command --lock -a
>
> запускать в фоне?
> gnome-screensaver-command -d &
> gnome-screensaver-command --lock -a &

Хм... Скрипт завершался почему-то...
Сделал еще одну обёртку через while true, вроде работает...

--
Stanislav

[Sergej Kochnev]

Можно использовать вместо inotifywait incron.

[Stanislav Vlasov]

24 августа 2011 г. 10:11 пользователь Sergej Kochnev
<soko...@yandex.ru> написал:

>>Делаю рабочую станцию для пользователей.
>>gnome2, etoken для входа и т.п.
>>Всё работает, kerberos + ldap и всё такое.
>>Но есть небольшая засада. Требуется, чтобы при выдёргивании етокена из
>>ридера блочился экран.
>>
>>Написано два скрипта:
>>Первый следит за токеном и пишет в лог. Краткое содержание (без
>>обвязки для /etc/init.d):
>>/usr/bin/pcsc_scan >/tmp/.pcsc_scan
>>
>>Второй запускается из /etc/X11/Xsession.d/90pcsc-scrnsv (XX заменяются
>>на номер карточки):
>>#!/bin/bash

[...]
>>while inotifywait $PCSCFILE

> Можно использовать вместо inotifywait incron.

Можно. Но как выяснилось сегодня утром, проблема не в этом, а в том,
что pcsc_scan периодически перестаёт работать, либо тупо падает. Пока
непонятно почему.

--
Stanislav

[Dmitry A. Zhiglov]

24 августа 2011 г. 8:32 пользователь Stanislav Vlasov
<stanis...@gmail.com> написал:

Подскажите, а в возможно ли использование udev в данном случае?

[Stanislav Vlasov]

24 августа 2011 г. 11:44 пользователь Dmitry A. Zhiglov
<dmitry....@gmail.com> написал:

>>>>Написано два скрипта:
>>>>Первый следит за токеном и пишет в лог. Краткое содержание (без
>>>>обвязки для /etc/init.d):
>>>>/usr/bin/pcsc_scan >/tmp/.pcsc_scan
>>>>
>>>>Второй запускается из /etc/X11/Xsession.d/90pcsc-scrnsv (XX заменяются
>>>>на номер карточки):
>>>>#!/bin/bash
>> [...]
>>>>while inotifywait $PCSCFILE

>>> Можно использовать вместо inotifywait incron.

>> Можно. Но как выяснилось сегодня утром, проблема не в этом, а в том,
>> что pcsc_scan периодически перестаёт работать, либо тупо падает. Пока
>> непонятно почему.

> Подскажите, а в возможно ли использование udev в данном случае?

Не в этом случае. У нас не usb-токен, который действительно можно
через udev, а считыватель + карточка.

--
Stanislav

[Constantine]

А не пробовали смотреть в сторону pamusb (http://pamusb.org/)?

[Stanislav Vlasov]

24 августа 2011 г. 16:24 пользователь Constantine
<raven...@gmail.com> написал:

> А не пробовали смотреть в сторону pamusb (http://pamusb.org/)?

Не то. Надо централизованную базу пользователей.
Чтобы пользователь мог придти за любой комп аналогичной конфигурации
(читалка етокенов, керберос, nfs), зайти со своим токеном и получить
свой рабочий стол.

Етокен - это не сторадж, это отчуждаемое хранилище ключей. И
авторизовывать надо по ключам, а не по наличию токена.

К тому же, токен не является usb-устройством. В lsusb видно только его
читалку, которую с рабочего места никто не уносит.

Вобщем-то вход в систему с етокеном уже работает, не работает (вернее,
не всегда срабатывает) блокировка экрана при вынимании токена.

--
Stanislav

[Maksym Tiurin]

08/23/11 08:35, Stanislav Vlasov пишет:

> Делаю рабочую станцию для пользователей.
> gnome2, etoken для входа и т.п.
> Всё работает, kerberos + ldap и всё такое.
> Но есть небольшая засада. Требуется, чтобы при выдёргивании етокена из
> ридера блочился экран.

sudo aptitude install libpam-pkcs11
В этом пакете есть утилитка pkcs11_eventmgr
в настройках которой указываются actions запускаемые при выдергивании и
вставке токена.

--
With Best Regards, Maksym Tiurin
JID: MrK...@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/

--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: http://lists.debian.org/4E5C012...@bungarus.info

[Stanislav Vlasov]

30 августа 2011 г. 3:14 пользователь Maksym Tiurin
<mrk...@bungarus.info> написал:

>> gnome2, etoken для входа и т.п.

>> Но есть небольшая засада. Требуется, чтобы при выдёргивании етокена из
>> ридера блочился экран.

> sudo aptitude install libpam-pkcs11
> В этом пакете есть утилитка pkcs11_eventmgr
> в настройках которой указываются actions запускаемые при выдергивании и
> вставке токена.

Благодарю, буду пробовать.

--
Stanislav