SSSD excluir usuários

Navegue suas respostas
1

É minha primeira pergunta no fórum, então, por favor, não fique bravo se eu perder informações importantes sobre o meu problema.

Eu uso o Debian 8 e me juntei a um domínio do Active Directory (Windows Server 2012) com SSSD de acordo com este tutorial .

Tudo funciona bem, posso fazer login com a conta do AD. Além disso, criei um grupo de diretórios ativos para reunir usuários que terão permissão para se conectar a esse servidor.

Eu permito este grupo com o comando: 

realm permit -g [email protected]

Até agora, tudo é o.k. e quando conecto pela primeira vez no meu servidor Linux com uma conta do Active Directory, o /home/domain/user é criado.

No entanto, quando eu quero revogar a permissão para se conectar ao servidor para um usuário (então eu removo a conta do grupo). Sua pasta /home/domain/user ainda permanece no servidor e, além disso, a conta root (ou conta com permissões sudo) pode se conectar ao usuário que não tem mais permissões (com uma mensagem de aviso Access Denied (ignored) ).

Por fim, a única maneira de não permitir su <deleted user> é remover a conta do AD (mas não consigo remover a conta do AD sempre que revogo permissões).

Na minha opinião, é uma questão de segurança terrível. É possível remover definitivamente o usuário (e sua pasta) no servidor Linux ao revogar as permissões da conta do AD?

Você pode me compartilhar informações sobre autenticação entre o AD e o SSSD?

Por favor, veja abaixo os arquivos de configuração:

Conteúdo de /etc/nsswitch.conf : 

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

Conteúdo de /etc/sssd/sssd.conf : 

[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam

[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYREALM.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = simple
simple_allow_groups = MyGroupAllowed

Antes de trabalhar com o SSSD, tentei usar o Winbind, mas tive o mesmo problema.

Obrigado pela sua resposta.

    
por L.Vasseur 22.11.2017 / 05:16

1 resposta

1

In my opinion, it is a terrible security issue.

Então, você acha que o fato de que sudo usuários podem se conectar a uma conta em um servidor Linux é um problema de segurança? Tudo o que o usuário sudo faz com essa conta é registrado de acordo, incluindo o usuário que executou inicialmente sudo .

O que você pode fazer é ter um daemon consultando o LDAP e sincronizando as contas. Ele nem precisa estar em todas as caixas Linux, desde que possa se conectar às caixas.

EDITAR: Outra maneira de avançar é certificar-se de que os caches do Kerberos sejam removidos; use kdestroy em /etc/bash.bash_logout . Desta forma, o único "dano" que um usuário pode fazer é local, e que ele poderia, de qualquer maneira, 'porque o root pode fazer qualquer coisa local.

Nota: Isso é bem parecido com o Windows, pois o administrador local pode facilmente se tornar um sistema local e o sistema local pode fazer tudo na caixa, incluindo representar usuários atualmente conectados ... e usar kdestroy no logout emula o comportamento do Windows.

É por isso que a sua pergunta foi uma surpresa para mim. Pior, na verdade, a menos que você configure regras de auditoria específicas no Windows, você não verá usuários locais representando o usuário, nem quem "atualmente controla essa sessão do sistema local fazendo coisas como jdoe ".

    
por 22.11.2017 / 11:48

Tags

O servidor escravo MariaDB deve conectar-se a 127.0.0.1:3307 para alcançar o mestre. O SELinux diz que não. Fazer o que? Bacula - Erro fatal: chave de autorização rejeitada pelo daemon de armazenamento