In my opinion, it is a terrible security issue.
Então, você acha que o fato de que sudo
usuários podem se conectar a uma conta em um servidor Linux é um problema de segurança? Tudo o que o usuário sudo
faz com essa conta é registrado de acordo, incluindo o usuário que executou inicialmente sudo
.
O que você pode fazer é ter um daemon consultando o LDAP e sincronizando as contas. Ele nem precisa estar em todas as caixas Linux, desde que possa se conectar às caixas.
EDITAR:
Outra maneira de avançar é certificar-se de que os caches do Kerberos sejam removidos; use kdestroy
em /etc/bash.bash_logout
. Desta forma, o único "dano" que um usuário pode fazer é local, e que ele poderia, de qualquer maneira, 'porque o root pode fazer qualquer coisa local.
Nota:
Isso é bem parecido com o Windows, pois o administrador local pode facilmente se tornar um sistema local e o sistema local pode fazer tudo na caixa, incluindo representar usuários atualmente conectados ... e usar kdestroy
no logout emula o comportamento do Windows.
É por isso que a sua pergunta foi uma surpresa para mim. Pior, na verdade, a menos que você configure regras de auditoria específicas no Windows, você não verá usuários locais representando o usuário, nem quem "atualmente controla essa sessão do sistema local fazendo coisas como jdoe
".