Bug 45631 - su- domain admin
Summary: su- domain admin
Status: CLOSED WORKSFORME
Alias: None
Product: Branch p10
Classification: Unclassified
Component: pam_mount (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: qa-team@altlinux.org
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-03-23 13:03 MSK by kessys
Modified: 2023-03-27 12:58 MSK (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description kessys 2023-03-23 13:03:10 MSK 
[petrov-rr@vmalt1 ~]$ su- petrov-rr
Password: 
(mount.c:68): Messages from underlying mount program:
(mount.c:72): mount error(16): Device or resource busy
(mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)
(pam_mount.c:522): mount of ConsultantPlus failed
(mount.c:68): Messages from underlying mount program:
(mount.c:72): mount error(16): Device or resource busy
(mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)
(pam_mount.c:522): mount of _Папка_обмена failed
(mount.c:68): Messages from underlying mount program:
(mount.c:72): mount error(16): Device or resource busy
(mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)
(pam_mount.c:522): mount of _it failed
[petrov-rr@vmalt1 ~]$ udevadm info -a -p /sys/class/net/eth0 | grep address
-bash: udevadm: команда не найдена

AD
Пытаюсь сделать чтобы права администраторов домена были только у них.
Но в связи с применением PAM_MOUNT он мне выдаёт такое и права администратора не даёт.
 roleadd 'Администраторы домена' localadmins
данная роль добавлена.
Comment 1 Evgeny Shesteperov 2023-03-23 14:39:12 MSK 
Добрый день!

Пожалуйста, дополнительно предоставьте следующую информацию:

1.  Операционная система, версия, на которой воспроизвелась ошибка.

2.  Выводы следующих команд:

         $ uname -a
         $ cat /etc/os-release
         $ apt-repo
         $ id

3.  Что выступает в качестве сервера AD: операционная система, версия.

4.  Где выполняется команда: на сервере, клиенте, в графике или в TTY
    без графики, под каким пользователем.
Comment 2 kessys 2023-03-23 14:51:10 MSK 
(Ответ для Evgeny Shesteperov на комментарий #1)
> Добрый день!
> 
> Пожалуйста, дополнительно предоставьте следующую информацию:
> 
> 1.  Операционная система, версия, на которой воспроизвелась ошибка.
> 
> 2.  Выводы следующих команд:
> 
>          $ uname -a
>          $ cat /etc/os-release
>          $ apt-repo
>          $ id
> 
> 3.  Что выступает в качестве сервера AD: операционная система, версия.
> 
> 4.  Где выполняется команда: на сервере, клиенте, в графике или в TTY
>     без графики, под каким пользователем.

1.Операционная система: ALT 10.1
Версия KDE Plasma: 5.24.6
Версия KDE Frameworks: 5.97.0
Версия Qt: 5.15.4
Версия ядра: 5.15.72-un-def-alt1 (64-бита)
Графическая платформа: X11
Процессоры: 4 × Intel® Core™ i5-10210U CPU @ 1.60GHz
Память: 3,8 ГиБ ОЗУ
Графический процессор: llvmpipe 
2.[root@vmalt1 ~]#  uname -a
Linux vmalt1 5.15.72-un-def-alt1 #1 SMP PREEMPT Mon Oct 10 16:11:20 UTC 2022 x86_64 GNU/Linux
[root@vmalt1 ~]# cat /etc/os-release
NAME="ALT"
VERSION="10.1"
ID=altlinux
VERSION_ID=10.1
PRETTY_NAME="ALT Workstation K 10.1  (Sorbaronia Mitschurinii)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:kworkstation:10.1"
BUILD_ID="ALT 10.1"
HOME_URL="https://www.basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"
DOCUMENTATION_URL="https://docs.altlinux.org/"
SUPPORT_URL="https://support.basealt.ru/"
[root@vmalt1 ~]# apt-repo
rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64 classic gostcrypto
rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64-i586 classic
rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/noarch classic
[root@vmalt1 ~]# id
uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc)
[root@vmalt1 ~]# id petrov-rr
uid=897801617(petrov-rr) gid=897800513(пользователи домена) группы=897800513(пользователи домена),897800512(администраторы домена),897800572(группа с запрещением репликации паролей rodc),100(users),80(cdwriter),22(cdrom),81(audio),19(proc),83(radio),450(camera),71(floppy),498(xgrp),499(scanner),14(uucp),470(fuse),10(wheel),476(video),463(vboxusers),489(vboxadd),488(vboxsf),101(localadmins),491(remote)
3. Windows Server 2012 R2
4. Клиентский ПК Alt K10, выполненный вход в домен, учетная запись доменного пользователя
Comment 3 Evgeny Shesteperov 2023-03-24 19:10:39 MSK 
Развернул стенд, настроил pam_mount, но ошибку, как у Вас, воспроизвести не удалось.

Давайте уточним некоторые моменты:

1. Система KWorkstation обновлена до текущего репозитория P10?
2. Как настроен PAM_MOUNT у вас, опишите настройки шары, к которой Вы хотите подключиться. Интересен, как минимум, файл подключения /etc/pam.d/system-auth-sss.
3. https://admx.help/?Category=ALTLinux&Policy=BaseALT.Policies.Control::su&Language=ru-ru — разве групповые политики для контроля /bin/su вам не подойдут? По умолчанию обычным доменным пользователем нельзя получить доступ к /bin/su:

    [testuser@cli-kwork ~]$ su - ad_admin
    bash: /bin/su: Отказано в доступе

4. Уточните, чего Вы действительно хотите добиться. Вход выполняется успешно, несмотря на предупреждения PAM_MOUNT:

    [ad_admin@cli-kwork ~]$ IS_EXTERNAL_SHELL="yes"
    [ad_admin@cli-kwork ~]$ su - ad_admin
    Password: 
    (mount.c:68): Messages from underlying mount program:
    (mount.c:72): mount error(16): Device or resource busy
    (mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)
    (pam_mount.c:522): mount of share failed
    [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL
    
    [ad_admin@cli-kwork ~]$ exit
    выход
    [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL
    yes
    [ad_admin@cli-kwork ~]$

5. Я думаю, что при использовании udevadm вам нужны права суперпользователя, уточните этот момент:

    [ad_admin@cli-kwork ~]$ su -
    Password: 
    [root@cli-kwork ~]# udevadm info -a -p /sys/class/net/eth0 &> /dev/null && echo OK
    OK
    [root@cli-kwork ~]# exit
    выход
    [ad_admin@cli-kwork ~]$ udevadm info -a -p /sys/class/net/eth0 &> /dev/null && echo OK || echo NO
    NO
    [ad_admin@cli-kwork ~]$
Comment 4 kessys 2023-03-24 22:28:08 MSK 
(Ответ для Evgeny Shesteperov на комментарий #3)
> Развернул стенд, настроил pam_mount, но ошибку, как у Вас, воспроизвести не
> удалось.
> 
> Давайте уточним некоторые моменты:
> 
> 1. Система KWorkstation обновлена до текущего репозитория P10?
> 2. Как настроен PAM_MOUNT у вас, опишите настройки шары, к которой Вы хотите
> подключиться. Интересен, как минимум, файл подключения
> /etc/pam.d/system-auth-sss.
> 3.
> https://admx.help/?Category=ALTLinux&Policy=BaseALT.Policies.Control::
> su&Language=ru-ru — разве групповые политики для контроля /bin/su вам не
> подойдут? По умолчанию обычным доменным пользователем нельзя получить доступ
> к /bin/su:
> 
>     [testuser@cli-kwork ~]$ su - ad_admin
>     bash: /bin/su: Отказано в доступе
> 
> 4. Уточните, чего Вы действительно хотите добиться. Вход выполняется
> успешно, несмотря на предупреждения PAM_MOUNT:
> 
>     [ad_admin@cli-kwork ~]$ IS_EXTERNAL_SHELL="yes"
>     [ad_admin@cli-kwork ~]$ su - ad_admin
>     Password: 
>     (mount.c:68): Messages from underlying mount program:
>     (mount.c:72): mount error(16): Device or resource busy
>     (mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man
> mount.cifs) and kernel log messages (dmesg)
>     (pam_mount.c:522): mount of share failed
>     [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL
>     
>     [ad_admin@cli-kwork ~]$ exit
>     выход
>     [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL
>     yes
>     [ad_admin@cli-kwork ~]$
> 
> 5. Я думаю, что при использовании udevadm вам нужны права суперпользователя,
> уточните этот момент:
> 
>     [ad_admin@cli-kwork ~]$ su -
>     Password: 
>     [root@cli-kwork ~]# udevadm info -a -p /sys/class/net/eth0 &> /dev/null
> && echo OK
>     OK
>     [root@cli-kwork ~]# exit
>     выход
>     [ad_admin@cli-kwork ~]$ udevadm info -a -p /sys/class/net/eth0 &>
> /dev/null && echo OK || echo NO
>     NO
>     [ad_admin@cli-kwork ~]$

1. Нет, исходим пока из дальнейших пунктов
2. https://www.altlinux.org/Pam_mount 
За исключением Вы можете сменить механизм монтирования отдав его на откуп systemd.
Я не могу понять как сделать этот откуп, если подскажите будет классно.
3. Это мне так и надо, но учетки доменные с правами админа должны получать привилегии в учетки обычного пользователя.
4. Да udevadm выполняется только под root, и это пример той команды по идее к которой должен иметь доступ доменный админ
Comment 5 Evgeny Shesteperov 2023-03-24 23:10:08 MSK 
(In reply to kessys from comment #4)
> 1. Нет, исходим пока из дальнейших пунктов

В каком состоянии находится система (обновлена до какого-то числа, не обновлена)? Как вы вводили систему KWorkstation в домен, опиши ТОЧНЫЕ шаги, как вы это сделали.

> 2. https://www.altlinux.org/Pam_mount 
> За исключением Вы можете сменить механизм монтирования отдав его на откуп
> systemd.

Опишите буквально.

> 3. Это мне так и надо, но учетки доменные с правами админа должны получать
> привилегии в учетки обычного пользователя.

Оно так и выходит: и для локальных, и для доменных.

> 4. Да udevadm выполняется только под root, и это пример той команды по идее
> к которой должен иметь доступ доменный админ

Не должен. Вы можете настроить, например, sudo для администратора домена (чего я не советую), но `su -` достаточно для решения Вашей задачи.
Comment 6 kessys 2023-03-24 23:33:23 MSK 
(Ответ для Evgeny Shesteperov на комментарий #5)
> (In reply to kessys from comment #4)
> > 1. Нет, исходим пока из дальнейших пунктов
> 
> В каком состоянии находится система (обновлена до какого-то числа, не
> обновлена)? Как вы вводили систему KWorkstation в домен, опиши ТОЧНЫЕ шаги,
> как вы это сделали.
> 
> > 2. https://www.altlinux.org/Pam_mount 
> > За исключением Вы можете сменить механизм монтирования отдав его на откуп
> > systemd.
> 
> Опишите буквально.
> 
> > 3. Это мне так и надо, но учетки доменные с правами админа должны получать
> > привилегии в учетки обычного пользователя.
> 
> Оно так и выходит: и для локальных, и для доменных.
> 
> > 4. Да udevadm выполняется только под root, и это пример той команды по идее
> > к которой должен иметь доступ доменный админ
> 
> Не должен. Вы можете настроить, например, sudo для администратора домена
> (чего я не советую), но `su -` достаточно для решения Вашей задачи.

1 10.1 С завода upgrade не запускается
Ввод в домен с помощью Alterator
2.
 apt-get install systemd-settings-enable-kill-user-processes
session         [success=1 default=ignore] pam_succeed_if.so  service = systemd-user quiet
session         optional        pam_mount.so disable_interactive
/etc/security/pam_mount.conf.xml:
<volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol" mountpoint="/share/my" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
3. Вот как раз не получается
4. ну sudo мне не нужен я согласен с политикой его выключения.
но su- никто не отменяет же?
Если udevadm не работает под правами админа доменного, то редактирование fstab, точно должно работать.

по sudo
[petrov-rr@vmalt1 ~]$ sudo petrov-rr

Мы полагаем, что ваш системный администратор изложил вам основы
безопасности. Как правило, всё сводится к трём следующим правилам:

    №1) Уважайте частную жизнь других.
    №2) Думайте, прежде что-то вводить.
    №3) С большой властью приходит большая ответственность.

[sudo] password for petrov-rr:
petrov-rr is not in the sudoers file.  This incident will be reported.
[petrov-rr@vmalt1 ~]$
Comment 7 Evgeny Shesteperov 2023-03-27 10:31:24 MSK 
(Ответ для kessys на комментарий #6)

> 1 10.1 С завода upgrade не запускается
> Ввод в домен с помощью Alterator

Обратитесь к документации дистрибутива для обновления системы: https://docs.altlinux.org/ru-RU/alt-kworkstation/10.1/html/alt-kworkstation/install-distro--update-after-install--chapter.html

> 2.
>  apt-get install systemd-settings-enable-kill-user-processes
> session         [success=1 default=ignore] pam_succeed_if.so  service =
> systemd-user quiet
> session         optional        pam_mount.so disable_interactive
> /etc/security/pam_mount.conf.xml:
> <volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol"
> mountpoint="/share/my"
> options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),
> file_mode=0664,dir_mode=0775" />

[root@cli-kwork ~]# grep 'volume' /etc/security/pam_mount.conf.xml
<volume uid="10000-2000200000" fstype="cifs" server="addc" path="share" mountpoint="/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
[root@cli-kwork ~]# tail -n 2 /etc/pam.d/system-auth
session         [success=1 default=ignore] pam_succeed_if.so  service = systemd-user quiet
session         optional        pam_mount.so disable_interactive

Всё ОК на обновленной системе.

> 3. Вот как раз не получается

Обновитесь до актуального состояния согласно документации к Вашему дистрибутиву.

> 4. ну sudo мне не нужен я согласен с политикой его выключения.
> но su- никто не отменяет же?
> Если udevadm не работает под правами админа доменного, то редактирование
> fstab, точно должно работать.

Это отклонение от главной темы данной баги: получение прав других пользователей, используя администратора домена.
 
> по sudo
> [petrov-rr@vmalt1 ~]$ sudo petrov-rr
> 
> Мы полагаем, что ваш системный администратор изложил вам основы
> безопасности. Как правило, всё сводится к трём следующим правилам:
> 
>     №1) Уважайте частную жизнь других.
>     №2) Думайте, прежде что-то вводить.
>     №3) С большой властью приходит большая ответственность.
> 
> [sudo] password for petrov-rr:
> petrov-rr is not in the sudoers file.  This incident will be reported.
> [petrov-rr@vmalt1 ~]$

ALT Linux заботится о Вашей безопасности: https://www.altlinux.org/Sudo

Это, опять же, отклонение от темы данной баги.

Не воспроизводится в P10.
Comment 8 kessys 2023-03-27 11:36:25 MSK 
1. Систему обновил 
apt-get update

# apt-get dist-upgrade
# update-kernel
# apt-get clean
2. Не обратил внимание не хватает  vers=3.0,
<volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol" mountpoint="/share/my" options="sec=krb5,vers=3.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
3.
4. Отклонения нету данная уз является администратором домена и также вводит пк в домен.
Comment 9 Evgeny Shesteperov 2023-03-27 12:58:19 MSK 
(Ответ для kessys на комментарий #8)
> 1. Систему обновил 
> apt-get update
> 
> # apt-get dist-upgrade
> # update-kernel
> # apt-get clean

OK.

> 2. Не обратил внимание не хватает  vers=3.0,
> <volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol"
> mountpoint="/share/my"
> options="sec=krb5,vers=3.0,cruid=%(USERUID),nounix,uid=%(USERUID),
> gid=%(USERGID),file_mode=0664,dir_mode=0775" />

С ней было проверено первоначально.

> 3.

?

> 4. Отклонения нету данная уз является администратором домена и также вводит
> пк в домен.

Работает на обновленной системе по указанным шагам из описания. То, чего вы хотите добиться, опишите в формате: шаги, что ждёте, что по факту. В ином случае, ошибка не воспроизводится.