Signierte Pakete aus signierten Paketquellen lassen sich in den Standardeinstellungen von PolicyKit ohne Root-Rechte installieren. Dieses Verhalten stößt nun einigen Anwendern übel auf und sorgt für viel Wind im oben verlinkten Bug-Report. Wer die übliche Einstellung wieder haben will, der sollte von Hand die Datei /var/lib/polkit-1/localauthority/20-org.d anlegen und folgendes…

[NoUsersInstallAnythingWithoutPassword]
Identity=unix-user:someone;unix-user:someone_else
Action=org.freedesktop.packagekit.*
ResultAny=auth_admin
ResultInactive=auth_admin
ResultActive=auth_admin

…als Inhalt einfügen. Weiter Informationen zu dieser Änderung finden sich mittlerweile auch in den Release Notes. [UPDATE 20.11.2009: Laut Berichten in diversen Medien wurde dieses Verhalten nun mit einem Update wieder auf den alten Stand gebracht. Somit braucht man auf jeden Fall wieder Root-Rechte, um Software installieren zu können.]

Loggen sich nun mehrere Benutzer auf dem System ein – entweder via SSH oder über das „Benutzerwechsel-Applet“ – so können/konnten die normalen Desktop-User den Rechner nicht mehr herunterfahren. Wenn sie es dennoch probierten, so erschien eine Meldung von PolicyKit über die ein Benutzer mit administrativen Rechten die Auktion autorisieren konnte. Ohne einen Admin blieb der Rechner an.

Ein Desktop-Benutzer benötigte also immer einen „Admin“, um den Rechner in so einem Fall herunterfahren zu können. Es war bislang nicht möglich einem Benutzer mit eingeschränkten Rechten nur das Herunterfahren zu erlauben. Man stand also vor der Entscheidung „Entweder gibt man allen Benutzern Root-Rechte, oder der Rechner bleibt ab und zu an“… (OK, ich weiß dass man die /etc/sudoers mit sudo visudo bearbeiten könnte und hier unprivilegierten Benutzern erlauben könnte shutdown und reboot ausführen zu dürfen, aber das involviert das Terminal und ich meine ein Desktop-System darf nicht ein Terminal brauchen, um abgeschaltet werden zu können…)

Dies ändert sich nun endlich mit Jaunty, wo das Fast-User-Switch-Applet gelernt hat mit PolicyKit umzugehen. Dazu öffnet man die Verwaltung der Zugriffsberechtigungen über „System -> Systemverwaltung -> Zugriffsberechtigungen“ und sucht nach den Schlüsseln

• org.freedesktop.hal.power-management.shutdown
• org.freedesktop.hal.power-management.shutdown-multiple-sessions

Über „Hinzufügen“ kann man nun Benutzern erlauben den Rechner abzuschalten bzw. neuzustarten, auch wenn weitere Sitzungen aktiv sind.

Die Änderung ist sofort aktiv. In diesem Beispiel könnte nun der Benutzer „Test“ den Rechner herunterfahren. Es lohnt sich ein bisschen durch den PolicyKit-Manager zu zappen. Es gibt zahlreiche Schlüssel wie Prozessortaktstufen ändern, Systemzeit ändern, Aushängen von fremden gemounteten Datenträgern, Wechselmedien auswerfen usw. mit denen man unprivilegierten Benutzern nützliche Rechte einräumen kann, ohne sie gleich zu Administratoren zu machen. Fehlt nur noch ein Nautilus mit PolicyKit-Unterstützung…