我遇到的一个问题是,如果为用户提供本地root权限,他们可以依次登录FreeIPA目录中的任何用户.即使该用户无法通过HBAC规则访问该特定计算机.

示例场景：

> FreeIPA客户机PC1.
> FreeIPA中的两个用户：Bob和Alice.
>不允许Alice通过HBAC规则访问PC1. Bob在PC1上有本地root. Bob可以su成为PC1上的Alice.

我能找到的唯一信息是在/etc/pam.d/su中注释掉这一行：

auth            sufficient      pam_rootok.so

现在,如果他试图：su alice,请求本地root用于Alice的密码

但是,如果Bob具有root访问权限,则可以轻松启用上述PAM / su行. FreeIPA是否应该阻止Alice的帐户访问PC1,无论是通过直接登录尝试还是本地root suing？如何防止本地root作为任何FreeIPA用户登录？