Um usuário do grupo não pode sudo enquanto outros podem

2

Eu tenho um problema estranho em um servidor lenny debian. O servidor é um cliente NIS para compartilhar usuários / grupos com outro servidor e no arquivo sudoers o seguinte é colocado:

%groupX ALL=(ALL) ALL

Para que os membros do groupX tenham direitos de sudo. Além disso, tenho um usuário que faz parte do grupo:

uid=1234(user.name) gid=1234(user.name) groups=1234(user.name),1001(groupX),<snip>

Mas ainda quando o usuário tenta sudo ele recebe um erro. Os outros usuários do grupo podem sudo perfeitamente bem.

Isso aconteceu uma vez antes, mas foi o suficiente para remover, sincronizar e adicionar novamente o usuário ao grupo. Isso não funcionou desta vez.

Em /var/log/auth.log, o seguinte erro padrão é anotado:

Jul  6 11:08:35 servername sudo: user.name : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/u/user.name ; USER=root ; COMMAND=/bin/bash

Alguém sabe como consertar isso?

    
por dtech 09.07.2011 / 11:24

1 resposta

2

Provavelmente ajudaria se conhecêssemos a saída de auth.log. No entanto, parece que a autenticação está indo para o NIS primeiro, como na Red Hat:

passwd:     nisplus, files
shadow:     nisplus, files
group:      nisplus, files

Ou em algumas distribuições:

passwd:     nisplus, compat
shadow:     nisplus, compat
group:      nisplus, compat

Se você precisar fazer com que os usuários façam sudo nesse servidor, será necessário que as definições de contabilidade local tenham precedência:

passwd:     files, nisplus
shadow:     files, nisplus
group:      files, nisplus

Tenha em mente que isso pode impedir que os usuários acessem recursos do NIS, dependendo de como as pilhas de autenticação estão configuradas. Verifique se a configuração do seu pam não impedirá a sua autenticação no NIS depois da sua autenticação local.

EDIT: Ok, analisando como você pode usar o NIS com o sudo, você sabe se esse usuário existe no sistema local? Supondo que o nsswitch esteja olhando para os arquivos locais, é possível que ele tenha precedência sobre o usuário no NIS.

    
por 09.07.2011 / 14:43

Tags