Benutzer von der Shell aus deaktivieren

[PeterEduardNis]

Moinsen,

wenn ich von der shell aus "pw lock MaxMuster" absetze und mit "pw user show MaxMuster" nachsehe, dann ist der Benutzer "MaxMuster:*LOCKED**:..." aber das interessiert die OPNsense so gar nicht. Sobald ich den Dienst Login neu starte, dann ist der Benutzer sogar wieder aktiviert.

Wie kann ich den Benutzer über die shell deaktivieren?

Tausend Dank im Voraus

[franco]

Moin,

Das wird so aus verschieden Gründen nicht funktionieren.

Die UNIX Datenbank bzw. Shell ist nur eines der Dinge die der Usermanager im Griff hat. Um die GUI wird man nicht drumherum kommen. Wenn alles klappt gibt es aber zumindest eine API in 25.1.


Grüsse
Franco

[PeterEduardNis]

ok, schade.

Eine andere Möglichkeit einen Benutzer einen OpenVpn Zugang zu verweigern gibt es nicht, oder?

[Patrick M. Hausen]

Authentifizierung über einen zentralen Provider wie z.B. Active Directory per LDAP oder RADIUS - wenn ihr sowas habt.

Mitarbeiter*in scheidet aus - Benutzeraccount wird global deaktiviert, OpenVPN ist ebenfalls "aus". Oder die Person darf nicht mehr per VPN zugreifen - raus aus der "VPN Users" Gruppe, OpenVPN ist "aus".

[PeterEduardNis]

Ja ne.
Es gibt OpenVPN Instanzen für BYOD, Mitarbeiter und "Geräte"....
Die Benutzer, die das Geräteprofil nutzen, sind lokale Benutzer. Alle anderen sind AD-Benutzer.
Die für Geräte nutzen kein TOTP, die anderen schon.
Jetzt gibt es natürlich Spezis, die vielleicht das Profil für die Geräte (Apple IOS) für z.B. Windows verwenden wollen würden, obwohl nicht erlaubt.
Dazu habe ich ein Skript geschrieben das die Connections aus dem Log ausließt und bei dem Profil "Geräte"
nachsieht ob es keine IOS Platform ist (z.B. IV_PLAT=win).
Wenn das der Fall ist, dann wird der Benutzer per "pw lock benutzername" deaktiviert und nach der "Zeit bis zur Neubestimmung", würde der Benutzer rausfliegen....
So wird das nun leider nischt.
Also warte ich auf die API