76719_3715.jpg

Hinter Schloss und Riegel

KDE mit dem Kiosk-Modus absichern

01.08.2004
Ob im Unternehmen mit Hunderten von Arbeitsplätzen oder einfach nur zu Hause als Kindersicherung – Nutzerrechte auf dem Desktop einzuschränken ist oft ein wichtiges Anliegen. Mit KDE geht das ganz einfach.

Wer nach einer angepassten und verwüstungsfesten Oberfläche gefragt wird, bekommt meist zur Antwort, er möge doch den FVWM nehmen und konfigurieren. Doch zum einen bietet dieser Windowmanager längst nicht alle Features, die man auf modernen Desktop-Arbeitsplätzen erwartet – einfache Konfiguration eingeschlossen –, zum anderen wünscht man sich oft nicht nur einen Windowmanager, sondern eine integrative Desktop-Umgebung wie KDE. Doch das hohe Maß an Anpassbarkeit, sonst ein Stärke von KDE, ist hier natürlich fehl am Platz.

Gefragt ist stattdessen eine Lösung, bei der der Benutzer ohne monatelanges Dokumentationsstudium Einschränkungen vornehmen und individuelle Applikationen bis ins letzte Detail absichern kann. Seit KDE 3.1 existiert dafür eine ebenso einfache wie effiziente Lösung, der die KDE-Entwickler den Namen "Kiosk-Modus" verpassten, denn das ursprüngliche Einsatz-Szenario war ein Internet-Kiosk, beispielsweise in einem Internet-Cafe. Dabei reichen die Möglichkeiten vom manipulationssicheren Bildschirmhintergrund bis hin zum Verbot ganzer Programme.

Ein Leichtes

Damit die Einstellungen tatsächlich einfach zu konfigurieren sind, schrieb Waldo Bastian, der geistige Vater und Hauptentwickler des Kiosk-Modus, eine grafische Administrationsoberfläche namens "Kiosk Tool" [1]. Deren Funktionsweise entspricht in etwa der des Policy Editor unter Windows: Bestimmte Möglichkeiten des KDE-Desktops – etwa das Setzen des Hintergrundbilds oder das Ausführen von Programmen – lassen sich mit ihm einschränken. Suse-9.1-Benutzer sollten nicht das mitgelieferte Paket installieren, sondern auf die Heft-CD zurückgreifen oder ein aktuelles RPM von der Kiosk-Webseite beziehen (Kasten 1).

Kasten 1: Kiosk-Tool-Installation

Ein vorkompiliertes Kiosk-Tool-Paket aktuellen Inhalts gibt es derzeit nur für Suse 9.1 unter ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_9.1/applications/kiosktool-0.5-3.i586.rpm. Zum Einspielen genügt hier der Befehl

yast -i kiosktool-0.5-3.i586.rpm

Nutzer anderer Distributionen greifen auf das Quellcode-Archiv von ftp://ftp.kde.org/pub/kde/stable/apps/KDE3.x/admin/kiosktool-0.5.tar.gz zurück. Dessen Installation erfolgt wie gewohnt aus dem entpackten Quellenverzeichnis kiosktool-0.5 heraus mit

./configure && make && make install

Das fertige Programm lässt sich nun mit dem Kommandozeilenbefehl kiosktool & oder über den KDE-Menü-Eintrag SystemKonfigurationKiosk Tool bzw. SystemKiosk Admin Tool starten. Kiosk Tool setzt KDE 3.2.2, besser aber 3.2.3 voraus.

Nach dem ersten Start legt Kiosk Tool bei Anwahl des Buttons Add New Profile auf der Startseite ein Profil an, welches hinterher in der Datei /etc/kderc (bei Suse /etc/kde3rc) vermerkt wird. Darin finden sich grundsätzliche Informationen zu KDE wie der Installationspfad.

Zunächst aber versucht es, einen Namen und eine Kurzbeschreibung (Short description:) für das neue Profil zu erfahren. Beide Angaben so treffend wie möglich zu gestalten lohnt sich, will man später den Überblick nicht verlieren.

Außerdem sollte man statt des vorgegebenen Installationsverzeichnisses profile1 unterhalb von /etc/kde-profile einen sinnvolleren Verzeichnisnamen wählen, denn auch dieser begegnet einem später wieder. Da das Programm hier auf das nur für root schreibbare Verzeichnis /etc zurückgreift, fragt es abschließend nach dem root-Passwort. Ein Klick auf Next legt das neue Profil an; daraufhin erscheint eine Komponenten-Ansicht (Abbildung 1).

Abbildung 1: Die Einschränkungsmöglichkeiten sortiert Kiosk Tool nach Themen.

Sie erlaubt es, die zu konfigurierenden Regeln nach Kategorien auszuwählen. So bietet z. B. Theming Einschränkungsmöglichkeiten für das visuelle Erscheinungsbild des Desktops, General kümmert sich um Restriktionen, die die Arbeitsoberfläche als solche betreffen, und Menu Actions legt fest, welche Menüeinträge der Benutzer nicht zu sehen bekommen soll.

Ein Klick auf den Next-Button (oder einer auf das jeweilige Icon) führt zu einer Liste anwählbarer Einschränkungen, die auf die markierte Kategorie zutreffen. Den jeweils aktiven Einstellungspunkt erläutert eine Infobox unterhalb der Liste (Abbildung 2).

Abbildung 2: Die Kategorie "Menu Actions" erlaubt es, bestimmte Menüpunkte aus den KDE-Applikationen der Benutzer zu verbannen.

Einige Aktionen bringen sogar eine Vorschau mit: Wählt man z. B. in KDE Menu die Aktion Disable menu editing an, so bringt der Button Preview KDE Menu einen K-Button zum Vorschein, in dessen Kontext-Menü der Menu Editor-Eintrag fehlt (Abbildung 3). Leider ist die Vorschau-Funktion in der getesteten Version 0.5 noch anfällig für Hänger und Abstürze, und Nutzer weniger leistungsstarker Rechner werden auf eine Geduldsprobe gestellt.

Abbildung 3: Die Vorschau-Funktion zur Regel "Disable menu editing" zeigt, dass ein rechter Mausklick auf den Start-Menü-Knopf (hier bei Suse) den Menü-Editor-Eintrag vermissen lässt.

Ist man am Ende mit seinen Einstellungen zufrieden, so führt zweimaliges Anwählen des Back-Knopfs zurück in den Profile Selection-Hauptdialog, wo es nun an die Zuweisung der Profile zu den Benutzern geht.

Abbildung 4: Arbeit macht das Erstellen der Profile – das Zuweisen geht hingegen ganz einfach.

Für jeden etwas

Zu diesem Zweck klickt man auf den "Manage users..."-Knopf und darf nun für Unix-Benutzer oder -Gruppen jeweils ein Profil festlegen. Im Falle eines einzelnen Anwenders geht dies über den "Add User Policy..."-Button. Einmal angeklickt, erscheint ein Dialog wie in Abbildung 4, in dem man einen Usernamen und das gewünschte Profil auswählt.

Soll eine ganze Gruppe dasselbe Profil bekommen, verfährt man mit Add Group Policy analog. Diese Einstellungen werden beim nächsten KDE-Start für den jeweiligen Benutzer aktiv. Alle Profilzuweisungen speichert das Kiosk Tool in /etc/kde-user-profile.

Achtung: Wer KDE 3.2.2 einsetzt, muss auf jedem Fall die Zeile

export KDEDIRS=$(kiosktool-kdedirs)

am Anfang des KDE-Startskripts $KDEDIR/bin/startkde ergänzen, wobei $KDEDIR zumeist /opt/kde3 (Suse) oder /usr (Debian, Fedora) ist. KDE 3.2.3 benötigt diesen Zusatz nicht mehr.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

title_2014_10

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...