Summary: | su: Permission denied после включения pam_mount | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Alexander Makeenkov <amakeenk> |
Component: | pam_mount | Assignee: | Anton V. Boyarshinov <boyarsh> |
Status: | CLOSED NOTABUG | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P5 | CC: | boyarsh, rider, sem, shaba |
Version: | unstable | ||
Hardware: | x86_64 | ||
OS: | Linux |
Description
Alexander Makeenkov
2021-12-02 16:43:28 MSK
(Ответ для Alexander Makeenkov на комментарий #0) > По инструкции https://www.altlinux.org/Групповые_политики настроена > групповая политика, которая позволяет выполнять команду su для всех > пользователей. Это можно не делать, достаточно просто добавить доменного пользователя локально в группу wheel, чтобы разрешить выполнять команду su. так всё-таки - виноват ли pam_mount ? а для недоменного пользователя su работает? А переключение не в root, а в другого пользователя через su - от доменного пользователя... "su: Permission denied" не похоже на сообщение о невозможности запустить su (тогда , насколько я понимаю, выводится сообщение с полным путём до su) Что выдаёт id от доменного пользователя в обоих случаях и что выдаёт stat /bin/su ? (Ответ для Anton V. Boyarshinov на комментарий #3) > а для недоменного пользователя su работает? Оказалось, что тоже не работает. > А переключение не в root, а в другого пользователя через su - от доменного пользователя... Тоже ошибка, и от доменного, и от обычного пользователя. > Что выдаёт id от доменного пользователя в обоих случаях и что выдаёт stat /bin/su ? С включенным pam_mount: $ id uid=1319601103(testuser) gid=1319600513(domain users) группы=1319600513(domain users),10(wheel),14(uucp),19(proc),22(cdrom),71(floppy),80(cdwriter),81(audio),83(radio),100(users),451(vboxsf),452(vboxusers),458(vboxadd),473(camera),477(fuse),481(video),498(xgrp),499(scanner) $ stat /bin/su Файл: /bin/su Размер: 31072 Блоков: 64 Блок В/В: 4096 обычный файл Device: 8,1 Inode: 314092 Links: 1 Доступ: (4710/-rws--x---) Uid: ( 0/ root) Gid: ( 10/ wheel) Доступ: 2021-12-02 16:56:06.797970501 +0300 Модифицирован: 2020-07-03 11:00:00.000000000 +0300 Изменён: 2021-08-11 16:41:37.892782849 +0300 Создан: 2021-08-11 16:41:37.866778013 +0300 С выключенным pam_mount: $ id uid=1319601103(testuser) gid=1319600513(domain users) группы=1319600513(domain users),10(wheel),14(uucp),19(proc),22(cdrom),71(floppy),80(cdwriter),81(audio),83(radio),100(users),451(vboxsf),452(vboxusers),458(vboxadd),473(camera),477(fuse),481(video),498(xgrp),499(scanner) $ stat /bin/su Файл: /bin/su Размер: 31072 Блоков: 64 Блок В/В: 4096 обычный файл Device: 8,1 Inode: 314092 Links: 1 Доступ: (4710/-rws--x---) Uid: ( 0/ root) Gid: ( 10/ wheel) Доступ: 2021-12-02 16:56:06.797970501 +0300 Модифицирован: 2020-07-03 11:00:00.000000000 +0300 Изменён: 2021-08-11 16:41:37.892782849 +0300 Создан: 2021-08-11 16:41:37.866778013 +0300 Также обнаружил, что при включенном pam_mount, при входе обычного пользователя в систему пароль не спрашивается вообще. Вход в систему происходит после ввода логина. Что-то в pam стеке неправильно настроено... Содержимое /etc/pam.d/system-auth-sss в студию... (Ответ для Anton V. Boyarshinov на комментарий #5) > Что-то в pam стеке неправильно настроено... > Содержимое /etc/pam.d/system-auth-sss в студию... # cat /etc/pam.d/system-auth-sss #%PAM-1.0 auth [success=4 perm_denied=ignore default=die] pam_localuser.so auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet auth [default=1] pam_permit.so auth optional pam_mount.so auth substack system-auth-sss-only auth [default=1] pam_permit.so auth substack system-auth-local-only auth substack system-auth-common account [success=4 perm_denied=ignore default=die] pam_localuser.so account [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet account [default=1] pam_permit.so account substack system-auth-sss-only account [default=1] pam_permit.so account substack system-auth-local-only account substack system-auth-common password [success=4 perm_denied=ignore default=die] pam_localuser.so password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet password [default=1] pam_permit.so password substack system-auth-sss-only password [default=1] pam_permit.so password substack system-auth-local-only password substack system-auth-common session [success=4 perm_denied=ignore default=die] pam_localuser.so session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet session [default=1] pam_permit.so session optional pam_mount.so session substack system-auth-sss-only session [default=1] pam_permit.so session substack system-auth-local-only session substack system-auth-common Подключение pam_mount (согласно https://www.altlinux.org/SSSD/AD#Через_pam_mount) делаю перед "substack system-auth-sss-only". Я плохо разбираюсь в pam-овских конфигах, но мне кажется, что в тех секциях, где добавлен pam_mount надо поменять success=4 на success=5, так как нумерация строк меняется (Ответ для Anton V. Boyarshinov на комментарий #7) > Я плохо разбираюсь в pam-овских конфигах, но мне кажется, что в тех секциях, > где добавлен pam_mount надо поменять success=4 на success=5, так как > нумерация строк меняется Это помогает, su выполняется успешно от любого пользователя, при входе обычного пользователя в систему пароль спрашивается. Спасибо! Добавил эту информацию в статью на wiki. (Ответ для Alexander Makeenkov на комментарий #9) > Добавил эту информацию в статью на wiki. Спасибо! |