Background: Estou usando um sistema Debian 7 que integrei com um sistema LDAP + Kerberos usando libnss-ldap , libpam-krb5 e nscd . Eu modifiquei sudoers para permitir que um grupo LDAP tenha o direito de sudo e ganhe privilégios de superusuário. Portanto, posso efetuar login como um grupo LDAP para gerenciar a máquina. Tudo isso está funcionando bem, e ssh login funciona bem com um usuário LDAP.
Eu estava apenas experimentando com um arquivo .k5login no diretório inicial da minha conta de usuário, Cosmic Ossifrage . No arquivo, eu listei:
[email protected]
que é uma identidade Kerberos válida. O SSH logins como este usuário continuou a funcionar corretamente com o arquivo .k5login no lugar.
No entanto, com esse arquivo .k5login no meu diretório home, não consegui usar sudo -i para obter privilégios de superusuário. Isso não parece fazer nenhum sentido, já que o .k5login está no meu diretório inicial, não root , então, a meu ver, nem o root user, nem o sudo , devem ser restringidos do que o que está presente no arquivo sudoers .
No entanto, com o arquivo .k5login acima, não foram usados sudo -i nem sudo su enquanto eram anteriores. Depois que o arquivo .k5login foi removido, essa funcionalidade foi restaurada e eu consegui sudo novamente.
No arquivo de log /var/log/auth.log , entre as muitas mensagens de erro relatadas neste momento estava uma do sudo, informando:
[pam:sudo] krb5_kuserok failed for user cosmic_ossifrage
Eu senti falta de algo fundamental na definição do que um .k5login deveria fazer? Esse comportamento é esperado e, em caso afirmativo, por quê?