Guardado no deseado de credenciales de proxy

3

Estoy trabajando en un entorno en el que varios usuarios acceden a iMacs compartidos (OS X 10.7.4) utilizando cuentas genéricas que se comparten entre varios usuarios. Sin embargo, cuando desean acceder a Internet, deben autenticarse con el servidor proxy utilizando sus propias credenciales únicas.

Teniendo esto en cuenta, las credenciales de proxy se deben borrar al cerrar la sesión, de modo que cuando otro usuario acceda a la misma cuenta, aún tenga que ingresar sus propias credenciales de proxy al acceder a Internet. Firefox hace esto muy bien. Sin embargo, Safari guarda las credenciales sin importar qué y persisten a través del cierre de sesión, que es una preocupación de seguridad y privacidad.

He intentado desactivar la autenticación para el servidor proxy. Esto solicitará credenciales nuevamente, pero las guardará una vez que se hayan ingresado. Los llaveros tienen un comportamiento similar cuando caducan o se eliminan. La función Autocompletar para las contraseñas en Safari está desactivada y no hay contraseñas guardadas ni otras credenciales.

¿Cómo puedo evitar que se guarden las credenciales del proxy?

Actualización: el problema parece provenir de un proceso del sistema llamado AuthBrokerAgent que es responsable de la autenticación de proxy. Cuando se ingresan las credenciales de proxy por primera vez, las almacena en el llavero de inicio de sesión del usuario y se agrega automáticamente como una aplicación permitida para acceder a esas credenciales. Se puede crear una solución al eliminarlo de una lista de aplicaciones permitidas, obligando al programa a solicitar la contraseña del llavero al acceder a esas credenciales, luego cambiar la contraseña del llavero para que sea diferente de la contraseña de la cuenta del usuario, pero esto es extremadamente engorroso. Debe configurarse en cada cuenta individualmente. Debe existir una mejor solución.

Al eliminar la lista de preferencias de AuthBrokerAgent se rompió la autenticación proxy en Safari por completo.

    
pregunta Adrian 14.09.2012 - 03:56

1 respuesta

1

No estoy seguro de cómo evitar la creación de las credenciales en primer lugar, pero puede eliminar elementos del llavero utilizando el security , que es fácil de programar.

El comando que desea es security delete-internet-password -s server , donde server es el nombre de host o la dirección del servidor proxy sin el protocolo (es decir, 192.168.0.1 , no https://192.168.0.1 ). Alternativamente, puede usar -l label para hacer coincidir el nombre del elemento del llavero, o varios otros parámetros de búsqueda, que puede encontrar detallados en página de usuario .

Puede ejecutar este comando ejecutarse al cerrar sesión para cada usuario guardándolo como script ejecutable en una ubicación que todos los usuarios puedan leer (asegúrese de que el archivo también sea ejecutable para todos los usuarios). Luego ejecuta sudo defaults write com.apple.loginwindow LogoutHook /path/to/script .

    
respondido por el robmathers 19.09.2012 - 05:30

Lea otras preguntas en las etiquetas