Bug 48648 - Изменить сборку sudo, добавив опцию --with-ldap
Summary: Изменить сборку sudo, добавив опцию --with-ldap
Status: CLOSED WONTFIX
Alias: None
Product: Sisyphus
Classification: Development
Component: sudo (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-12-01 10:05 MSK by Anton Shevtsov
Modified: 2023-12-03 21:12 MSK (History)
4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Anton Shevtsov 2023-12-01 10:05:59 MSK 
Нужна поддержка ldap, в случае когда НЕ используется sssd для получения правил sudo из AD/SAMBA.
Comment 1 Evgeny Sinelnikov 2023-12-03 21:12:10 MSK 
Этот функционал изначально признан небезопасным и отключен. С этой опцией sudo тянет за собой шлейф сайд-эффектов, влияющих на исходное состояние возможных векторов атак. 

Один из основных вопросов: "Под какими учётными данными должен будет ходить в ldap sudo?"

На текущий момент sudo уже собран с поддержкой sssd. Какой смысл включать устаревший функционал? Кажется неразумным увеличение точек отказа модулями, которые выполняют доступ к ldap через прибитый гвоздями пароль к ldap на каждом клиенте. А потом сверху городить механизм обновления этого пароля на всех узлах сети, которые получают таким образом правила sudo.