Forum Linux.debian/ubuntu Écran de connexion MDM configuration avancée ?

Posté par (page perso) . Licence CC by-sa
1
16
juil.
2015

Contexte :

Là où je travail, il y a 15 poste de travail pour 30 travailleurs qui ne sont que très rarement tous présent dans les bureaux en même temps.

Sur chaque poste de travail, nous avons installé le Windows 7 de Microsoft et notre GNU/Linux (Mint 17.2 64 MATE).

Sur les 30 travailleurs, seul 3 ont l'habitude d'utiliser GNU. Les 27 autres ont l'habitude d'utiliser le Windows. Mais parfois, soit par accident, soit pour essayer, l'un d'entre eux démarre GNU.

La première différence important est le comportement de MDM, l'écran de connexion. Et cela déstabilise, inquiète, rebute, déjà…

En effet, même s'il n'y a pour l'instant qu'un seul profil utilisateur, il est nécessaire de s'authentifier.

Du côté du Windows, seul l'utilisateur en question apparaît et seul le mot de passe est à saisir. Si l'on se trompe ou commet une petite erreur de frappe, le même mot de passe est redemandé à saisir, et l'on reste dans la même zone de texte.

Du côté GNU/Linux, MDM présente l'unique utilisateur mais ne limite pas la possibilité de se connecter en tant qu'un autre utilisateur dont nous connaîtrions l'identifiant et mot de passe.

Avec l'option SelectLastLogin=true (présentée sous forme d'une case à cochée dans le logiciel graphique des Préférences…) déjà l'unique utilisateur est déjà pré-sélectionné et il nous sommes invité à saisir le mot de passe, comme du côté Windows. Et donc, à condition de ne pas se tromper dans le mot de passe, tout se passe de la même manière. Mais si une erreur ou faute de frappe à été commise, nous sommes invité à saisir non-plus le mot de passe, mais un identifiant ! C'est une super opportunité pour pouvoir s'authentifier en tant qu’utilisateur qui n’apparaîtrait pas dans la liste. Mais dans notre cas, c'est dramatique car les 27 travailleurs ne comprennent pas du tout cela et ne s'y attendent pas ! Donc ils saisissent le mot de passe qu'il connaissent, et qui du coup apparaît en claire à l'écran ! Ensuite il valide (touche Enter) et sont surpris de devoir à nouveau saisir le mot de passe ! Alors, se disent-ils, « Me serais-je trompé ? C'est pas ça le mot de passe ? Dans son Linusc' à la con il aurait compliqué les choses avec un autre mot de passe ? Bon, comment je fais pour éteindre… »

La question :

Croyez bien que je cherche, depuis des mois, durant des heures…

J'ai trouvé quoi…
Qu'il y a un fichier de configuration, /etc/mdm/mdm.conf que l'on peut modifier en tant que root et qui l'est en partie automatiquement par l'usage de l'interface graphique Préférences…

Et comme seul "documentation", le fichier /usr/share/mdm/defaults.conf

Comment est-il possible de limiter l'invite au seul et unique utilisateur (comme avec le Windows) de sorte à ce que nous ne soyons invité qu'à saisir que le mot de passe de cet unique utilisateur (et jamais l'identifiant d'un hypothétique autre utilisateur, …) ?

Cela est-il possible ?

Merci d'avance.

  • # former l'utilisateur

    Posté par . Évalué à 5.

    Comment est-il possible de limiter l'invite au seul et unique utilisateur (comme avec le Windows) de sorte à ce que nous ne soyons invité qu'à saisir que le mot de passe de cet unique utilisateur (et jamais l'identifiant d'un hypothétique autre utilisateur, …) ?

    Il faut (re)habituer les utilisateurs à la notion de login/mot de passe, utlisateur/mot de passe

    ils le sont deja partiellement car c'est probablement le cas quand ils vont sur leur site web favori, sur leur webmail, sur skype, etc.

    et c'est encore plus facile à expliquer quand ce sont des machines entreprises, Mme Michu n'a pas les meme acces que M.Dupont meme si elle se connecte depuis le meme PC.

    on a donc besoin de savoir si c'est M.Dupont qui est devant le PC ou bien Mme Michu.

    donc copier la presentation de windows n'est (à mon sens) pas la solution.
    d'ailleurs windows propose quand meme un bouton "changer d'utilisateur".

    tu peux aussi essayer un autre gestionnaire de login,
    sur ubuntu c'est lightDM , il se souvient de mon utilisateur precedent, et si je me trompes dans le mot de passe, il me demande de le ressaisir en restant sur le meme utilisateur.

    Prochaine etape pour toi, brancher ton linux sur l'annuaire de l'entreprise, pour que chaque utilisateur ait son login/pass personnel, et gagne ses acces…

    • [^] # Re: former l'utilisateur

      Posté par . Évalué à 1.

      Oui c'est clair que c'est plus une histoire de formation. Là où je bosse nous avons enlevé Windows XP sur certains postes et migré vers Debian (d'autres sont passés sous Windows 7). Et aucun soucis pour les utilisateurs, ils sont certes arrivés sur une page de connexion complètement différente, mais la case login reste la case login et pareil pour la case mot de passe.
      Au lieu de taper prenom.nom et leur mot de passe sur Windows XP, et bien ils l'ont fait sur Debian.

      Au final le fonctionnement est le même pour eux, c'est comme si tu demandes à tes utilisateurs de démarrer une Clio et le lendemain tu leur demandes de démarrer une 308, ils sauront très bien que c'est avec la clé, peut importe de ce qui les entoure.

      • [^] # Re: former l'utilisateur

        Posté par . Évalué à 1.

        Au final le fonctionnement est le même pour eux, c'est comme si tu demandes à tes utilisateurs de démarrer une Clio et le lendemain tu leur demandes de démarrer une 308, ils sauront très bien que c'est avec la clé, peut importe de ce qui les entoure.
        Mauvais exemple, pendant mon dernier déplacement on m'a filé une Skoda de location toute neuve (d'habitude je conduis une 308). Ça m'a bien pris 5 minutes pour la démarrer (surtout pour comprendre qu'il y avait pas besoin d'enfoncer la clef quelque part).

        Donc non, un minimum de formation ne fait jamais de mal.

  • # Il faudrait que les utilisateurs apprennent à lire ....

    Posté par . Évalué à 3.

    Mais si une erreur ou faute de frappe à été commise, nous sommes invité à saisir non-plus le mot de passe, mais un identifiant !

    Ca me parait cohérent d'un point de vue sécurité : sur ce point ce n'est pas Linux qui a un problème mais Windows (je dirais plutôt la conf qui est chez vous car là ou je bosse, Windows ne retient pas l'identifiant de l'utilisateur entre deux sessions, il faut le spécifier à chaque fois).

    Tu devrais plutôt faire le contraire : faire en sorte que le Windows ait le même comportement que l'IHM Linux, et t'assurer que les identifiants/mots de passe windows/Linux soient synchronisés (AD ou LDAP).

  • # Login auto / GDM / KDM

    Posté par . Évalué à 4. Dernière modification le 16/07/15 à 14:18.

    Disons qu'un seul couple compte/mot de passe pour 30… niveau sécurité cela n'apporte rien ou vraiment pas grand chose. Autant passer en login automatique directement ^^.
    Sinon je ne connais pas assez bien MDM pour te dire si il est possible ou non de changer ce comportement, mais pour ce qui est des listes d'utilisateurs remplacer MDM par GDM ou KDM devrait te permettre de ne plus avoir ce soucis.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.