Permitir su sem senha para usuários em um determinado grupo do Active Directory ao usar o pam_winbind

5

Eu sei no meu sistema Gentoo, o arquivo /etc/pam.d/su vem com o seguinte comentário:

auth       sufficient   pam_wheel.so use_uid trust

Que permite que um usuário su para root sem uma senha, contanto que ele ou ela esteja no grupo wheel. Também tem um exemplo usando uma lista:

auth       sufficient   pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.nopass

Atualmente estou trabalhando com o openSuse 11.4 e juntei-o com sucesso a um domínio usando o Yast (que faz automaticamente todo o material winbind / kerberos / ad) e queria saber se havia uma maneira de modificar o / etc / pam. d / su no openSuse para fazer a mesma coisa se um usuário estiver em um grupo específico do AD. Eu tentei o seguinte para o meu /etc/pam.d/su config:

#%PAM-1.0
auth     sufficient     pam_rootok.so
auth     include        common-auth
auth     sufficient     pam_winbind.so require_membership_of=MYDOMAIN\LinuxAdmins
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so

Mas obviamente isso não funciona. Isso é possível usando o módulo pam_winbind.so e, em caso afirmativo, como?

    
por djsumdog 18.08.2011 / 07:16

1 resposta

1

Se você conseguir que seu grupo AD seja apresentado ao sistema como um grupo unix, você poderá usar sudo . É bem adequado para dar uma ampla gama de permissões de root para diferentes usuários ou grupos.

O /etc/sudoers config para isso seria algo como isto:

%LinuxAdmins ALL = NOPASSWD: ALL
    
por 16.12.2011 / 09:10