- PolicyKit
-
PolicyKit 
Basisdaten Maintainer David Zeuthen Aktuelle Vorabversion 0.102
(1. August 2011)Betriebssystem Unix-ähnlich Kategorie Privilege Genehmigung Lizenz GNU Lesser General Public License 2[1] freedesktop.org/wiki/Software/PolicyKit PolicyKit ist ein Berechtigungsdienst auf Betriebssystemen der Unix-Familie, der Benutzersoftware und Systemkomponenten erlaubt, miteinander zu kommunizieren, wenn die Benutzersoftware dazu berechtigt ist. Es ist vergleichbar mit den „Authorization Services“ in Mac OS X, „Group Policy“ in Windows NT und der „Benutzerkontensteuerung“ in Windows-Systemen seit Windows Vista.
Inhaltsverzeichnis
Prinzip
Die Systemsoftware erhält eine Anweisung einer Benutzersoftware. Um zu überprüfen, ob die Benutzersoftware für diese Anweisung berechtigt ist, fragt sie PolicyKit. Mit der Antwort trifft die Systemsoftware die Entscheidung, ob die Anweisung ausgeführt wird. PolicyKit erteilt also die Autorisierung für Systemfunktionen. Es ist in der Lage, dafür eine Authentisierung des Benutzers zu verlangen.
Berechtigungen
Es kann eingestellt werden, wie Berechtigungen standardmäßig bei jedem Benutzer und jeder Anwendung erteilt werden (engl. Implicit Authorization). Für jeden Benutzer, lokale Benutzer oder aktive lokale Benutzer kann eingestellt werden, ob der Vorgang generell erlaubt bzw. verboten werden soll, oder eine Autorisierung als ein Administrator bzw. als eigener Benutzer mit einer einmaligen, prozessbeschränkten, sitzungsbeschränkten oder unbeschränkten Gültigkeit nötig sein soll. Für einzelne Benutzer und Gruppen können die Berechtigungen einzeln vergeben werden (engl. Explicit Authorization). Die Berechtigungen können auf bestimmte Anwendungen beschränkt werden.
Änderungen in Polkit-1
Mit dem Polkit-1-Design können dauerhafte explizite Berechtigungen über das LocalAuthority festgelegt werden, während kurzzeitige explizite Berechtigungen von dem InteractiveAuthority gewährt werden. LocalAuthority liest die Berechtigungen dabei aus .pkla-Dateien aus und unterstützt keine Beschränkung auf bestimmte ausführende Programme, sodass diese Funktion in PolicyKit nicht mehr zur Verfügung steht. Neu ist aber, dass nun auch Unix-Gruppen statt nur Unix-Benutzer, als Identität verwenden werden können.
Mit Polkit-1 wurde dem Framework auch das pkexec-Werkzeug hinzugefügt, welches es ermöglicht Befehle als ein anderer Benutzer auszuführen. Berechtigungen können dabei nach auszuführenden Systemprogrammen getrennt vergeben werden, indem für jedes spezielle Programm eine PolicyKit-Methode mit Angabe des Programmdateinamens angelegt wird.
Außerdem wurde die Lockdown-Methode eingeführt, welche eine gewählte Policykit-Aktion nur noch nach Angabe des Administrator-Passwortes und innerhalb einer lokalen, aktiven Sitzung zulässt. Diese ermöglicht dem Administrator sich notfalls schnell über fehlerhafte Konfigurationen hinwegzusetzen und die Aktion zu sperren.
Weblinks
- PolicyKit Library Reference Manual
- Centralizing policy rules with PolicyKit
- Git-Repository des PolicyKit-Projektes (mit Möglichkeit zum Download von Softwarepaketen)
Einzelnachweise
- ↑ PolicyKit Git COPYING. David Zeuthen. Abgerufen am 9. August 2009.
Wikimedia Foundation.
