Fråga:
Hur kan jag skapa en användare som kan logga in via SSH men inte på det lokala skrivbordet i MacOS X El Capitan?
aef
2016-01-22 13:32:55 UTC
view on stackexchange narkive permalink

Jag skulle vilja ha ett användarkonto i mitt MacOS X El Capitan-system som är begränsat till inloggning via SSH. Jag vill inte att den användaren ska kunna använda systemet på något annat sätt, särskilt inte på det lokala skrivbordet. Jag vill att den användaren inte ska listas som möjliga alternativ när han loggar in på skrivbordet.

Uppenbarligen måste användaren få åtkomst via SSH på menyn Delningsinställningar. Att ställa in användarens skal till / usr / bin / false , ett vanligt sätt att inaktivera inloggning för användare på MacOS X utan att radera dem, verkar inaktivera SSH-åtkomst såväl som skrivbordsåtkomst. För närvarande är det enda sättet jag kunde komma på att ställa in ett lösenord för användaren som användaren inte känner till, men jag antar att användare sedan kan ändra lösenordet själva.

Till exempel på Debian GNU / Linux Jag skulle kunna inaktivera lösenordet och / eller logga in helt. Finns det något liknande på MacOS?

Jag har länge undrat detta och kom ingenstans - jag skulle verkligen vilja använda det här om det finns.
En standardanvändare kan inte ändra lösenordet utan att känna till det aktuella lösenordet.Endast root kan göra det.
Två svar:
Tetsujin
2016-01-22 15:58:49 UTC
view on stackexchange narkive permalink

Ställ in din nya användare som ett delningskonto, detta ger dem inget faktiskt konto på själva datorn som de kan logga in på ...

System Prefs> Användare &-grupper

  1. Klicka på låset
  2. Klicka på tecknet + för att lägga till en ny användare
  3. Ställ in det nya kontot så att det bara delas från drop-menyn [steg ut på bilden för tydlighetens skull]

enter image description here

Ref: Apple KB - OS X Yosemite: Skapa en delning- endast användarkonto

Efter kommentarer ...
Tydligen fungerar detta, men bara i kombination med några andra tweaks.

Du måste ställa in en ny grupp, "fjärranvändare".
Lägg till din delningsanvändare till det, lägg sedan till den gruppen till fjärrinloggning

Det verkar som om du delar Endast användare har som standard skalet / usr / bin / false och hemkatalogen / dev / null .
Båda dessa värden verkar vara magiska värden för vissa PAM-moduler för att blockera användaren från att ansluta.
Du måste ändra båda och låta användaren läggas till gruppen fjärranvändare för att få det att fungera.

Tyvärr visas den här användaren inte när jag försöker lägga till den till användare för fjärrinloggning i delningsinställningarna
prova det här - skapa en ny grupp, 'fjärranvändare'.Lägg till din delningsanvändare till det och lägg sedan till den gruppen till fjärrinloggning.
Det är ett lovande hack, jag kan lägga till användaren i gruppen och jag kan ge den gruppen fjärråtkomstbehörighet.Jag kommer att utvärdera om SSH-inloggningen verkligen fungerar senare.
Ditt hack fungerar.Men bara i kombination med några andra tweaks.Det verkar som att "Dela endast" användare som standard har skalet "/ usr / bin / false" och hemkatalogen "/ dev / null".Båda dessa värden verkar vara magiska värden för vissa PAM-moduler för att hindra användaren från att ansluta.Du måste ändra båda och låta användaren läggas till i gruppen "fjärranvändare" för att få det att fungera.Om du uppdaterar ditt svar med detta kan jag acceptera det.
Det verkar som att jag var för snabb på att acceptera detta.Av någon anledning dyker 'Sharing Only' -användaren som jag skapade fortfarande på användarvalet för inloggning.Några idéer?Om inte kommer jag att försöka det tillvägagångssätt som @Kent påpekade i sitt svar.
Ah, darnit.Jag är på min telefon hela veckan, inget att testa på, förlåt.
Kent
2016-01-22 18:22:29 UTC
view on stackexchange narkive permalink

Du kan skapa en användare med lågt nummer via dscl enligt denna Apple-supportsida och den kommer att döljas från de flesta vyer.

Jag tror också att om du ställer in användarens hemkatalog till något som / var / tom så loggar ssh in men gui kommer inte.

Ditt svar hjälpte mig att hitta den fullständiga lösningen.Det är faktiskt `/ dev / null` som hemkatalog som blockerar användaren.Tack.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...