Фон: Я использую систему Debian 7, которую я интегрировал с системным использованием LDAP+Kerberos libnss-ldap
, libpam-krb5
и nscd
. Я изменил sudoers
разрешать группе LDAP право на sudo
и получите полномочия суперпользователя. Следовательно, я могу войти в систему как группа LDAP для управления машиной. Это все хорошо работает, и ssh
войдите в систему работает хорошо с пользователем LDAP.
Я просто экспериментировал с a .k5login
файл в корневом каталоге моей учетной записи пользователя, Cosmic Ossifrage
. В файле я перечислил:
cosmic_ossifrage@REALM.COM
который является допустимыми идентификационными данными Kerberos. Логины SSH как этот пользователь продолжали работать правильно с .k5login
зарегистрируйте на месте.
Однако с этим .k5login
файл в моем корневом каталоге, я больше не смог использовать sudo -i
получать полномочия суперпользователя. Это, кажется, не имеет смысла, так как .k5login находится в моем корневом каталоге, нет root
так по моему мнению, ни один root
пользователь, ни sudo
управляйте, должен быть ограничен дальше, чем, что присутствует в sudoers
файл.
Однако с .k5login
файл как выше на месте, ни один sudo -i
ни sudo su
работали, тогда как они были прежде. Однажды .k5login
файл был удален, эта функциональность была восстановлена, и я смог sudo
снова.
В файле журнала /var/log/auth.log
, среди многих сообщений об ошибках, о которых сообщают в это время, был один от sudo, указывая:
[pam:sudo] krb5_kuserok failed for user cosmic_ossifrage
Сделал я пропускаю что-то фундаментальное в определении какой a .k5login
как предполагается, делает? Это - ожидаемое поведение, и если так, почему?
Согласно комментарию Марка , файл .k5login
должен удовлетворять следующим требованиям:
Файл .k5login должен содержать один принцип на строку, быть принадлежащим пользователю, и не должен быть записываемым группой или другим лицом (но должен быть доступен для чтения любым лицом).
согласно комментариям, найденным в исходном коде Kerberos .
В данном случае файл .k5login
не был доступен для чтения никому, кроме пользователя Cosmic Ossifrage
. Монтаж NFS, на котором хранился домашний каталог пользователя, также приводил к сдавливанию корня, что запрещало доступ даже пользователю с правами root. Делая файл читаемым в мире, sudo
была возвращена к функциональности root.
(Маркировка вики сообщества, как ответ изначально пришёл из комментария.)