Hallo Leute,
all unsere Systeme sind am Univention ActiveDirectory gekoppelt. Sämtliche Sudoers und Adminrechte werden über SSS/LDAP verteilt. Dies funktioniert in 18.04 gleich gut wie auf 20.04. Alles reinster Ubuntu Standard. Seit 20.04 wird aber die lokale Sudoers Konfiguration völlig ignoriert. Das ist blöd, da wir Software einsetzen die auch noch ganze spezielle lokale Konfiguration verlangt. Auch ist es doch ab und zu gut wenn man auch in der lokalen Sudoers oder suduers.d zum Testen etwas eintragen kann.
Beispiel der Sudoers File hier:
Defaults env_reset Defaults mail_badpass Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin" # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL:ALL) ALL # Members of the admin group may gain root privileges %admin ALL=(ALL) ALL # Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL # See sudoers(5) for more information on "#include" directives: #includedir /etc/sudoers.d tuxi ALL= NOPASSWD: /bin/efibootmgr tuxi ALL=(ALL) NOPASSWD: /sbin/ip
Oder ein File:
cat /etc/sudoers.d/openfortigui %tuxigroup ALL=NOPASSWD:SETENV: /usr/bin/openfortigui --start-vpn *
Habe ich nun Sudoers over LDAP in der nsswitch.conf aktiv:
sudoers: files sss
Passiert beim Ausführen eines Befehl nur das im Log:
Jul 25 01:19:55 darkbox sudo[281473]: pam_unix(sudo:auth): conversation failed Jul 25 01:19:55 darkbox sudo[281473]: pam_unix(sudo:auth): auth could not identify password for [tuxi] Jul 25 01:19:55 darkbox sudo[281473]: pam_sss(sudo:auth): authentication failure; logname=tuxi uid=2009 euid=0 tty=/dev/pts/1 ruser=tuxi rhost= user=tuxi Jul 25 01:19:55 darkbox sudo[281473]: pam_sss(sudo:auth): received for user tuxi: 7 (Legitimierungsfehler)
Lösche ich in der nsswitch.conf das "sss" in dieser obigen Zeile weg, funktioniert die lokale sudoers sofort wieder, aber dafür natürlich die vom LDAP nicht mehr.
Und so sieht die Sudoconfig für eine Adminusergruppe z.B. aus wenn LDAP aktiv ist:
Passende Defaults-Einträge für tuxi auf darkbox:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
Der Benutzer tuxi darf die folgenden Befehle auf darkbox ausführen:
(ALL : ALL) ALL
(root) SETENV: NOPASSWD: /usr/bin/openfortigui --start-vpn *
(root) NOPASSWD: /bin/efibootmgr
(ALL) NOPASSWD: /sbin/ip
(root) ALL
(root) NOPASSWD: /usr/bin/openfortigui, /usr/bin/nmap, /bin/umount, /opt/puppetlabs/puppet/bin/puppet, /sbin/fsck, /bin/mount, /usr/bin/updatedb, /sbin/reboot
(root) NOPASSWD: /usr/bin/openfortigui, /usr/bin/nmap, /opt/puppetlabs/puppet/bin/puppet, /usr/bin/mactelnet, /usr/bin/muon, /sbin/fsck, /usr/sbin/synaptic,
/usr/bin/pkcon, /usr/bin/apt, /usr/bin/synaptic-pkexec, /usr/bin/updatedb, /usr/bin/macping, /sbin/reboot, /bin/umount, /bin/mount, /usr/sbin/apt, /usr/bin/ssh
Und das wäre die Config bei nur lokaler sudoers:
Passende Defaults-Einträge für tuxi auf darkbox:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
Der Benutzer tuxi darf die folgenden Befehle auf darkbox ausführen:
(ALL : ALL) ALL
(root) SETENV: NOPASSWD: /usr/bin/openfortigui --start-vpn *
(root) NOPASSWD: /bin/efibootmgr
(ALL) NOPASSWD: /sbin/ipVielleicht kann mir da ja jemand weiter helfen.
Vielen Dank und glg Dark Wolf
Moderiert von Cruiz:
Dieses Thema ist verschoben worden. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“)!