需结合用户账户创建、桌面会话绑定、权限隔离与会话管理服务四方面协同设置:一、创建独立账户并设标准用户类型;二、为各用户配置默认桌面环境(如ukui或gnome);三、通过d-bus隔离和pam限制跨用户资源访问;四、配置自启应用并禁用未授权程序;五、修复会话失败问题。
如果您在麒麟OS中需要为多个用户分别配置独立、隔离且符合使用需求的桌面会话环境,则需结合用户账户创建、桌面会话绑定、权限隔离与会话管理服务四方面进行协同设置。以下是具体操作步骤:
一、为各用户创建独立账户并设定登录类型
每个用户需拥有专属账户,其登录类型(标准用户或管理员)直接影响桌面会话的可用功能与系统访问范围。标准用户默认无法启动终端、安装软件或修改系统级设置,有利于实现会话级隔离。
1、点击屏幕左下角“开始菜单”,选择“控制中心”。
2、在控制中心左侧导航栏中,点击“用户与组”。
3、点击右上角“+”号按钮,弹出“添加用户”窗口。
4、输入用户名(如student01、teacher01)、全名,并设置密码;密码必须包含大小写字母、数字及特殊符号,长度不少于8位。
5、在“账户类型”下拉菜单中,为教学或办公场景下的普通使用者选择“标准用户”;仅对系统维护人员选择“管理员”。
6、点击“创建”按钮,系统自动生成主目录并完成注册。
二、为不同用户指定默认桌面环境
麒麟OS支持UKUI、GNOME、XFCE等多种桌面环境共存。通过为各用户单独配置默认会话,可确保其每次登录均自动加载指定界面,避免登录界面手动选择,提升多用户使用一致性。
1、以目标用户身份登录一次(如student01),生成其个人配置目录/home/student01/.xsession。
2、按Ctrl+Alt+T打开终端,执行:nano ~/.xsession(若文件不存在则新建)。
3、在文件中写入对应桌面环境的启动命令,例如:exec ukui-session(适用于学生端轻量需求)或exec gnome-session(适用于教师端多任务需求)。
4、保存退出(Ctrl+O → Enter → Ctrl+X)。
5、注销当前会话,重新以该用户身份登录,验证是否自动进入指定桌面环境。
三、限制跨用户桌面资源访问与进程可见性
默认情况下,同一物理机上的多个用户会话可能通过D-Bus或进程列表相互感知,存在隐私泄露风险。需通过PAM会话模块与D-Bus隔离策略,确保各桌面会话完全独立运行。
1、编辑用户级D-Bus配置:sudo nano /etc/dbus-1/session.conf。
2、定位至<limit name="max_replies_per_connection"></limit>段,将值设为1024,防止跨会话消息泛洪。
3、为每个用户创建独立D-Bus地址:在/home/username/.profile末尾添加:export DBUS_SESSION_BUS_ADDRESS="unix:path=/run/user/$(id -u)/bus"。
4、执行sudo systemctl --user daemon-reload刷新用户级服务单元。
5、验证隔离效果:以userA登录后运行ps aux | grep gnome,不应显示userB的gnome-shell进程。
四、配置会话级启动应用与禁用未授权程序
针对教育或办公场景,需为不同用户预设开机自启应用(如教学平台、文档编辑器),同时屏蔽浏览器、游戏等干扰类程序,确保桌面会话行为可控。
1、切换至目标用户,执行:mkdir -p ~/.config/autostart。
2、复制所需应用的.desktop文件至该目录,例如:cp /usr/share/applications/org.gnome.Nautilus.desktop ~/.config/autostart/。
3、对禁止程序,在系统级路径中移除执行权限:sudo chmod 600 /usr/share/applications/firefox.desktop。
4、编辑该.desktop文件,在[Desktop Entry]段下方添加:NoDisplay=true,使其不出现在启动器中。
5、重启用户会话或执行:dbus-run-session gsettings set org.ukui.menus applications "['org.gnome.Nautilus.desktop']",强制限定可启动应用白名单。
五、修复多用户环境下常见会话失败问题
当某用户登录时提示“启动会话失败”,通常因会话管理器缺失、权限异常或用户配置损坏导致。需根据系统版本定位对应服务组件并重装修复。
1、按Ctrl+Alt+F2切换至TTY字符界面,使用该用户账号登录。
2、执行命令检查会话管理器状态:sudo dpkg -l | grep ukui-session-manager(V10SP1及以上)或sudo dpkg -l | grep mate-session-manager(V10基础版)。
3、若无输出,说明包未安装;执行:sudo apt install ukui-session-manager(Debian系)或sudo yum install mate-session-manager(RHEL系)。
4、修复用户配置目录权限:sudo chown -R username:username /home/username,其中username替换为实际用户名。
5、执行reboot重启系统,再次尝试登录该用户会话。
