{"id":3786,"date":"2011-09-15T17:01:13","date_gmt":"2011-09-15T15:01:13","guid":{"rendered":"https:\/\/www.gambaru.de\/blog\/?p=3786"},"modified":"2019-10-24T01:46:23","modified_gmt":"2019-10-23T23:46:23","slug":"policykit-und-der-alltagliche-wahnsinn-mit-den-rechten","status":"publish","type":"post","link":"https:\/\/gambaru.de\/blog\/2011\/09\/15\/policykit-und-der-alltagliche-wahnsinn-mit-den-rechten\/","title":{"rendered":"PolicyKit und der allt\u00e4gliche Wahnsinn mit den Rechten"},"content":{"rendered":"

Alternativer Titel: \"Problem gel\u00f6st...Jetzt erst recht!\". Gestern erreichte mich ein Kommentar<\/a>, was mich dazu brachte erneut \u00fcber diesen merkw\u00fcrdigen Bug \"Not authorized<\/a>\" nachzudenken. Egal wie ich es anstellte, sobald ich versuchte etwas in Thunar als normaler Nutzer zu mounten, wurde ich mit einer Meldung von PolicyKit abgewimmelt.
\nDas Problem hat zwei Dimensionen. Zum einen scheint der Bug mit der Wahl des Loginmanagers zusammen zuh\u00e4ngen. Slim erkennt oder w\u00e4hlt hier zumindest nicht die richtigen Einstellungen, damit PolicyKit die Rechte f\u00fcr die einzelnen Nutzer des Systems setzen kann. Auch mit einer L\u00f6sung ohne Loginmanager hatte ich keinen Erfolg. Man k\u00f6nnte z.B. mit der xinitrc-Methode<\/a> ebenfalls in eine grafische Desktopumgebung starten:<\/p>\n

exec ck-launch-session dbus-launch openbox-session<\/code><\/p>\n

Ich schaute mir noch einmal den entsprechenden Debian-Fehlerbericht<\/a> an. Der letzte Eintrag verweist dabei auf den Loginmanager lightdm<\/a>. Lightdm scheint ziemlich neu zu sein, denn es gibt keine Version f\u00fcr Squeeze. Er selbst nennt sich kompatibel mit aktuellen Entwicklungen von PolicyKit und PAM. Vielleicht hatte ich hier mehr Gl\u00fcck.
\nTats\u00e4chlich lassen sich nach einer Installation von Lightdm wieder externe Speichermedien ohne Probleme auch in Thunar mounten. Nur die restriktive Einstellung, dass lediglich Administratoren interne Partitionen oder Medien mounten konnten, gefiel mir noch nicht richtig.
\nDamit auch interne Laufwerke oder Partitionen ohne die Rechte eines Admins eingeh\u00e4ngt werden k\u00f6nnen, gen\u00fcgt ein kleiner Eintrag in \/etc\/polkit-1\/localauthority\/50-local.d\/10-udisks.pkla<\/em>.
\nDie Textdatei kann beliebig benannt werden. Wichtig ist nur, dass der Dateiname auf .pkla endet. Mehr Informationen dazu gibt es auch mit man pklocalauthority<\/a>. Interessanterweise schl\u00e4gt ubuntu.com<\/a> vor, dass man den Nutzer zur Admingruppe hinzuf\u00fcgen sollte, wenn man interne Datentr\u00e4ger mounten m\u00f6chte. Ich sehe dabei das Problem, dass dadurch auch andere Aktionen m\u00f6glich werden, die besser nur durch root ausgef\u00fchrt werden und nicht durch irgendeinen Benutzer auf dem System.
\nAm Ende erstellte ich die Datei 10-udisks.pkla mit folgendem Inhalt<\/p>\n

[Storage Permissions]\nIdentity=unix-group:disk\nAction=org.freedesktop.udisks.filesystem-mount;org.freedesktop.udisks.filesystem-mount-system-internal;org.freedesktop.udisks.filesystem-unmount-others;org.freedesktop.udisks.drive-eject;org.freedesktop.udisks.drive-detach;org.freedesktop.udisks.luks-unlock;org.freedesktop.udisks.inhibit-polling;org.freedesktop.udisks.drive-set-spindown\nResultAny=no\nResultActive=yes\nResultInactive=no<\/pre>\n
F\u00fcgt man den normalen Benutzer zur Gruppe \"disk\" hinzu, kann dieser ab sofort wieder Partitionen oder Speichermedien auch intern mounten. PolicyKit ist sicher eine fortgeschrittene M\u00f6glichkeit Benutzerrechte zu definieren und diese auf verschiedene Anwendungen anzuwenden. Leider ist die Dokumentation zu sehr auf Entwickler ausgelegt. Als Endanwender erschlie\u00dfen sich manche Entscheidungen von Debian und PolicyKit nicht auf den ersten Blick. Danke auch f\u00fcr die Hinweise an diesen Post<\/a> im Forum von Arch Linux.
\nWem Debians restriktive Politik beim Mounten von Datentr\u00e4gern bisher missfallen hat, kann mit einer kleinen \u00c4nderung dieses Verhalten schnell \u00e4ndern. Man muss vorher nur wissen, dass es mit PolicyKit zu tun hat. \ud83d\ude09<\/p>\n","protected":false},"excerpt":{"rendered":"
Alternativer Titel: „Problem gel\u00f6st…Jetzt erst recht!“. Gestern erreichte mich ein Kommentar, was mich dazu brachte erneut \u00fcber diesen merkw\u00fcrdigen Bug „Not authorized“ nachzudenken. Egal wie ich es anstellte, sobald ich versuchte etwas in Thunar als normaler Nutzer zu mounten, wurde ich mit einer Meldung von PolicyKit abgewimmelt. Das Problem hat zwei Dimensionen. Zum einen scheint … <\/p>\n
\u201ePolicyKit und der allt\u00e4gliche Wahnsinn mit den Rechten\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[53,158],"_links":{"self":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/3786"}],"collection":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/comments?post=3786"}],"version-history":[{"count":1,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/3786\/revisions"}],"predecessor-version":[{"id":11015,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/3786\/revisions\/11015"}],"wp:attachment":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/media?parent=3786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/categories?post=3786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/tags?post=3786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}