Summary: | Изменить сборку sudo, добавив опцию --with-ldap | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Anton Shevtsov <shevtsov.anton> |
Component: | sudo | Assignee: | Evgeny Sinelnikov <sin> |
Status: | CLOSED WONTFIX | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P5 | CC: | amakeenk, liannnix, shevtsov.anton, sin |
Version: | unstable | ||
Hardware: | x86_64 | ||
OS: | Linux |
Description
Anton Shevtsov
2023-12-01 10:05:59 MSK
Этот функционал изначально признан небезопасным и отключен. С этой опцией sudo тянет за собой шлейф сайд-эффектов, влияющих на исходное состояние возможных векторов атак. Один из основных вопросов: "Под какими учётными данными должен будет ходить в ldap sudo?" На текущий момент sudo уже собран с поддержкой sssd. Какой смысл включать устаревший функционал? Кажется неразумным увеличение точек отказа модулями, которые выполняют доступ к ldap через прибитый гвоздями пароль к ldap на каждом клиенте. А потом сверху городить механизм обновления этого пароля на всех узлах сети, которые получают таким образом правила sudo. |