Справочный центр

Дерево страниц

Сравнение версий

Старая версия 256

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

ПрограммаОписание
polkitdМенеджер авторизации. Системная служба
pkcheck

Программа для проверки наличия у процесса права на выполнение определённого действия  

pkactionПрограмма для отображения информации о действии
pkexecПрограмма для запуска команды от имени другого пользователя
pkttyagentТекстовой Текстовый агент аутентификации

Алгоритм работы системы авторизации polkit:

...

Внутрь функции function(action, subject) передаётся параметр action,  который является объектом с информацией о действии, относительного которого проводится проверка.

Атрибут объекта:

АтрибутТипОписание
action.idstring

Название проверяемого действия.

Например, для программы pkexec значением атрибута action.id будет "org.freedesktop.policykit.exec".

Метод объекта:

МетодВозвращаемое значение
action.lookup( "<название_переменной>" );

Значение  переменной <название_переменной>, установленное привилегированной программой.
Каждая привилегированная программа предоставляет свой набор переменных. Информация о них дана в документации привилегированной программы.

Если значение переменной <название_переменной> отсутствует, то метод action.lookup вернёт неопределённое значение.

Для примера, программа pkexec устанавливает переменную program, содержащую путь до команды, запускаемой от имени другого пользователя. Для получения значения этой переменной используется метод action.lookup("program").

...

  1. Создать файл /etc/polkit-1/rules.d/10-default.rules с правилом:
    Блок кода
    polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.policykit.exec") {
        polkit.log("action=" + action);
        polkit.log("subject=" + subject);
    }
});
    где org.freedesktop.policykit.exec – название действия, соответствующего команде pkexec.
  2. Разрешить службе polkitd выводить в системный журнал отладочные сообщения.
    Для этого в файле systemd-юнита /usr/lib/systemd/system/polkit.service убрать из значения параметра ExecStart опцию "--no-debug":
    Блок кода
    ExecStart=/usr/lib/polkit-1/polkitd  --min-ilev-auth-admin=max
  3. Перечитать настройки системного менеджера systemd, чтобы служба polkitd "подхватила" удаление опции "--no-debug":
    Command

    sudo systemctl daemon-reload

  4. Перезапустить службу polkitd, чтобы она начала выводить отладочные сообщения в системный журнал:
    Command

    sudo systemctl restart polkit

...

Разрешение любому пользователю запускать определённую команду

Правило:

  • относится только к любому пользователю;
  • разрешает запускать команду "hostnamectl hostname <имя_узла>" без ввода пароля:

...