76719_3715.jpg

KDE mit dem Kiosk-Modus absichern

Hinter Schloss und Riegel

Ob im Unternehmen mit Hunderten von Arbeitsplätzen oder einfach nur zu Hause als Kindersicherung – Nutzerrechte auf dem Desktop einzuschränken ist oft ein wichtiges Anliegen. Mit KDE geht das ganz einfach.

Wer nach einer angepassten und verwüstungsfesten Oberfläche gefragt wird, bekommt meist zur Antwort, er möge doch den FVWM nehmen und konfigurieren. Doch zum einen bietet dieser Windowmanager längst nicht alle Features, die man auf modernen Desktop-Arbeitsplätzen erwartet – einfache Konfiguration eingeschlossen –, zum anderen wünscht man sich oft nicht nur einen Windowmanager, sondern eine integrative Desktop-Umgebung wie KDE. Doch das hohe Maß an Anpassbarkeit, sonst ein Stärke von KDE, ist hier natürlich fehl am Platz.

Gefragt ist stattdessen eine Lösung, bei der der Benutzer ohne monatelanges Dokumentationsstudium Einschränkungen vornehmen und individuelle Applikationen bis ins letzte Detail absichern kann. Seit KDE 3.1 existiert dafür eine ebenso einfache wie effiziente Lösung, der die KDE-Entwickler den Namen "Kiosk-Modus" verpassten, denn das ursprüngliche Einsatz-Szenario war ein Internet-Kiosk, beispielsweise in einem Internet-Cafe. Dabei reichen die Möglichkeiten vom manipulationssicheren Bildschirmhintergrund bis hin zum Verbot ganzer Programme.

Ein Leichtes

Damit die Einstellungen tatsächlich einfach zu konfigurieren sind, schrieb Waldo Bastian, der geistige Vater und Hauptentwickler des Kiosk-Modus, eine grafische Administrationsoberfläche namens "Kiosk Tool" [1]. Deren Funktionsweise entspricht in etwa der des Policy Editor unter Windows: Bestimmte Möglichkeiten des KDE-Desktops – etwa das Setzen des Hintergrundbilds oder das Ausführen von Programmen – lassen sich mit ihm einschränken. Suse-9.1-Benutzer sollten nicht das mitgelieferte Paket installieren, sondern auf die Heft-CD zurückgreifen oder ein aktuelles RPM von der Kiosk-Webseite beziehen (Kasten 1).

Kasten 1: Kiosk-Tool-Installation

Ein vorkompiliertes Kiosk-Tool-Paket aktuellen Inhalts gibt es derzeit nur für Suse 9.1 unter ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_9.1/applications/kiosktool-0.5-3.i586.rpm. Zum Einspielen genügt hier der Befehl

yast -i kiosktool-0.5-3.i586.rpm

Nutzer anderer Distributionen greifen auf das Quellcode-Archiv von ftp://ftp.kde.org/pub/kde/stable/apps/KDE3.x/admin/kiosktool-0.5.tar.gz zurück. Dessen Installation erfolgt wie gewohnt aus dem entpackten Quellenverzeichnis kiosktool-0.5 heraus mit

./configure && make && make install

Das fertige Programm lässt sich nun mit dem Kommandozeilenbefehl kiosktool & oder über den KDE-Menü-Eintrag SystemKonfigurationKiosk Tool bzw. SystemKiosk Admin Tool starten. Kiosk Tool setzt KDE 3.2.2, besser aber 3.2.3 voraus.

Nach dem ersten Start legt Kiosk Tool bei Anwahl des Buttons Add New Profile auf der Startseite ein Profil an, welches hinterher in der Datei /etc/kderc (bei Suse /etc/kde3rc) vermerkt wird. Darin finden sich grundsätzliche Informationen zu KDE wie der Installationspfad.

Zunächst aber versucht es, einen Namen und eine Kurzbeschreibung (Short description:) für das neue Profil zu erfahren. Beide Angaben so treffend wie möglich zu gestalten lohnt sich, will man später den Überblick nicht verlieren.

Außerdem sollte man statt des vorgegebenen Installationsverzeichnisses profile1 unterhalb von /etc/kde-profile einen sinnvolleren Verzeichnisnamen wählen, denn auch dieser begegnet einem später wieder. Da das Programm hier auf das nur für root schreibbare Verzeichnis /etc zurückgreift, fragt es abschließend nach dem root-Passwort. Ein Klick auf Next legt das neue Profil an; daraufhin erscheint eine Komponenten-Ansicht (Abbildung 1).

Abbildung 1: Die Einschränkungsmöglichkeiten sortiert Kiosk Tool nach Themen.

Sie erlaubt es, die zu konfigurierenden Regeln nach Kategorien auszuwählen. So bietet z. B. Theming Einschränkungsmöglichkeiten für das visuelle Erscheinungsbild des Desktops, General kümmert sich um Restriktionen, die die Arbeitsoberfläche als solche betreffen, und Menu Actions legt fest, welche Menüeinträge der Benutzer nicht zu sehen bekommen soll.

Ein Klick auf den Next-Button (oder einer auf das jeweilige Icon) führt zu einer Liste anwählbarer Einschränkungen, die auf die markierte Kategorie zutreffen. Den jeweils aktiven Einstellungspunkt erläutert eine Infobox unterhalb der Liste (Abbildung 2).

Abbildung 2: Die Kategorie "Menu Actions" erlaubt es, bestimmte Menüpunkte aus den KDE-Applikationen der Benutzer zu verbannen.

Einige Aktionen bringen sogar eine Vorschau mit: Wählt man z. B. in KDE Menu die Aktion Disable menu editing an, so bringt der Button Preview KDE Menu einen K-Button zum Vorschein, in dessen Kontext-Menü der Menu Editor-Eintrag fehlt (Abbildung 3). Leider ist die Vorschau-Funktion in der getesteten Version 0.5 noch anfällig für Hänger und Abstürze, und Nutzer weniger leistungsstarker Rechner werden auf eine Geduldsprobe gestellt.

Abbildung 3: Die Vorschau-Funktion zur Regel "Disable menu editing" zeigt, dass ein rechter Mausklick auf den Start-Menü-Knopf (hier bei Suse) den Menü-Editor-Eintrag vermissen lässt.

Ist man am Ende mit seinen Einstellungen zufrieden, so führt zweimaliges Anwählen des Back-Knopfs zurück in den Profile Selection-Hauptdialog, wo es nun an die Zuweisung der Profile zu den Benutzern geht.

Abbildung 4: Arbeit macht das Erstellen der Profile – das Zuweisen geht hingegen ganz einfach.

Für jeden etwas

Zu diesem Zweck klickt man auf den "Manage users..."-Knopf und darf nun für Unix-Benutzer oder -Gruppen jeweils ein Profil festlegen. Im Falle eines einzelnen Anwenders geht dies über den "Add User Policy..."-Button. Einmal angeklickt, erscheint ein Dialog wie in Abbildung 4, in dem man einen Usernamen und das gewünschte Profil auswählt.

Soll eine ganze Gruppe dasselbe Profil bekommen, verfährt man mit Add Group Policy analog. Diese Einstellungen werden beim nächsten KDE-Start für den jeweiligen Benutzer aktiv. Alle Profilzuweisungen speichert das Kiosk Tool in /etc/kde-user-profile.

Achtung: Wer KDE 3.2.2 einsetzt, muss auf jedem Fall die Zeile

export KDEDIRS=$(kiosktool-kdedirs)

am Anfang des KDE-Startskripts $KDEDIR/bin/startkde ergänzen, wobei $KDEDIR zumeist /opt/kde3 (Suse) oder /usr (Debian, Fedora) ist. KDE 3.2.3 benötigt diesen Zusatz nicht mehr.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...
Linux auf externe SSD installieren
Roland Seidl, 28.10.2016 20:44, 1 Antworten
Bin mit einem Mac unterwegs. Mac Mini 2012 i7. Würde gerne Linux parallel betreiben. Aber auf e...