目前,一台计算机正在使用共享帐户进行轮班工作,并在启动时自动登录。某些 UI 应用程序在自动登录时启动,因此它们持续运行非常重要。
我们如何在不退出的情况下安全地验证进入该系统的个人用户(例如使用智能卡)?个人用户仅使用其凭据解锁和锁定屏幕,他们本身并不拥有该帐户,并且该帐户永远不会注销。
建议的方法是将控制台连接到支持身份验证的 KVM。这需要具有开放控制台的系统的物理安全性以及对 KVM 的信任。显然比我们现在做的要好。有没有优雅的计算机内解决方案?看起来窗口管理器应该是可配置或可修改的才能完成这样的事情。也许有这方面的教程,但我只是没有使用正确的搜索词?
答案1
您可以尝试使用 PAM 实施基于智能卡的身份验证,并将所有授权用户的智能卡证书主题 DN 映射到此通用本地登录。
较新版本的固态硬盘有智能卡支持。但不确定它有多成熟。