在提出这个问题之后,我一直在试用FreeIPA作为基于这个问题的中央认证来源:
Managing access to multiple linux system
我遇到的一个问题是,如果为用户提供本地root权限,他们可以依次登录FreeIPA目录中的任何用户.即使该用户无法通过HBAC规则访问该特定计算机.
示例场景:
> FreeIPA客户机PC1.
> FreeIPA中的两个用户:Bob和Alice.
>不允许Alice通过HBAC规则访问PC1. Bob在PC1上有本地root. Bob可以su成为PC1上的Alice.
我能找到的唯一信息是在/etc/pam.d/su中注释掉这一行:
auth sufficient pam_rootok.so
现在,如果他试图:su alice,请求本地root用于Alice的密码
但是,如果Bob具有root访问权限,则可以轻松启用上述PAM / su行. FreeIPA是否应该阻止Alice的帐户访问PC1,无论是通过直接登录尝试还是本地root suing?如何防止本地root作为任何FreeIPA用户登录?