Настройка прав доменной учетной записи

ludmila

New member
Сообщения
13
#1
Добрый день!
После ввода системы Astra Linux CE (ядро 4.15.3-1-generic) в домен Windows при входе под доменной учетной записью в систему у пользователя нет прав. Как можно настроить права такому юзеру хотя бы для работы в Терминал Fly? Это требуется для настройки ЭП под этим пользователем, установки личных сертификатов и других настроек ПО. Этот юзер добавлен в 2е группы astra-admin и astra-console, но и после перезагрузки терминал не заработал. В какие еще группы его добавить и как настроить правильно права?
 

Fd1501h

Moderator
Сообщения
666
#2
Для отключения блокировки консоли используйте команду: sudo astra-console-lock disable
Данную опцию можно включить\отключить на этапе установки ОС
 

ludmila

New member
Сообщения
13
#4
Подскажите как можно доменного пользователя (домен Windows) добавить в файл sudoers? Сейчас он добавлен в этот файл в формате:
PetrovAA ALL=(ALL:ALL) ALL
PetrovAA@domain.com ALL=(ALL:ALL) ALL
, а также добавлен в группу sudo, но это не работает (не работает команда sudo от имени доменного пользователя).
 

cogniter

Moderator
Team Astra Linux
Сообщения
538
#5
Добрый день, насколько я помню, решение этого вопроса возможно при использовании FreeIPA
 

fixyatina

New member
Сообщения
19
#6
Подскажите как можно доменного пользователя (домен Windows) добавить в файл sudoers? Сейчас он добавлен в этот файл в формате:
PetrovAA ALL=(ALL:ALL) ALL
PetrovAA@domain.com ALL=(ALL:ALL) ALL
, а также добавлен в группу sudo, но это не работает (не работает команда sudo от имени доменного пользователя).
добавить пользователя в группу astra-admin
например командой:
adduser PetrovAA astra-admin

другие варианты: (добавить в /etc/sudoers)
%PetrovAA ALL=(ALL:ALL) NOPASSWD: ALL
или
%domain\\domain_user ALL=(ALL) NOPASSWD: ALL
или
%domain\domain_user ALL=(ALL) NOPASSWD: ALL

где domain - как у казано в домашней папке /home/domain/user

AD под рукой нет проверить.
 
Последнее редактирование:

ludmila

New member
Сообщения
13
#7
добавить пользователя в группу astra-admin
например командой:
adduser PetrovAA astra-admin

другие варианты: (добавить в /etc/sudoers)
%PetrovAA ALL=(ALL:ALL) NOPASSWD: ALL
или
%domain\\domain_user ALL=(ALL) NOPASSWD: ALL
или
%domain\domain_user ALL=(ALL) NOPASSWD: ALL

где domain - как у казано в домашней папке /home/domain/user

AD под рукой нет проверить.

пользователь уже добавлен в группу astra-admin. пробую прописать в файл как Вы предложили, перезагружаюсь, но после этого права sudo всё равно не работают.
Эти варианты для sudoers желательно по одному прописывать в файл или можно сразу все?
 

ludmila

New member
Сообщения
13
#8
Добрый день, насколько я помню, решение этого вопроса возможно при использовании FreeIPA
А других вариантов для астры нет по настройке без использования FreeIPA? В alt-линукс права sudo у доменного пользователя (домен windows) работают.
 
Последнее редактирование:

Fd1501h

Moderator
Сообщения
666
#9
А других вариантов для астры нет по настройке без использования FreeIPA? В alt-линукс права sudo у доменного пользователя (домен windows) работают.
FreeIPA просто позволяет управлять правилами sudo централизованно.
Правила sudo можно настроить для любого пользователя или группы, этот софт (sudo) работает одинаково на любом дистрибутиве.
Опишите свою задачу, зачем вам вообще давать полные права.
Ещё было бы неплохо увидеть вывод команд: getent group

P.S. Никогда не редактируйте файл /etc/sudoers простым текстовым редактором!!!! Для работы правилами sudo есть спец.команда sudo visudo
visudo -
перед сохранением проверяет корректность правил sudo и не даст вам "убить" систему.
 

ludmila

New member
Сообщения
13
#10
FreeIPA просто позволяет управлять правилами sudo централизованно.
Правила sudo можно настроить для любого пользователя или группы, этот софт (sudo) работает одинаково на любом дистрибутиве.
Опишите свою задачу, зачем вам вообще давать полные права.
Ещё было бы неплохо увидеть вывод команд: getent group

P.S. Никогда не редактируйте файл /etc/sudoers простым текстовым редактором!!!! Для работы правилами sudo есть спец.команда sudo visudo
visudo -
перед сохранением проверяет корректность правил sudo и не даст вам "убить" систему.
Добрый день!
Изначально права нужны были для установки ПО (КриптоПро, браузер, антивирус и т.д. под доменным пользователем), возможно больше для удобства.
Теперь уже больше хочется разобраться с ситуацией, почему не получается настроить такие права, научиться их настраивать. Систему астра линукс предстоит массово устанавливать на все рабочие станции в домене.
Изменения в /etc/sudoers вносились через команду sudo nano /etc/sudoers и визуально после выполнения этой команды и sudo visudo разницы не вижу, т.к. открывается GNU nano 2.7.4.

Вывод команды:
user@astralin:~$ getent group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:logcheck
tty:x:5:
disk:x:6:user
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:user
floppy:x:25:user
tape:x:26:
sudo:x:27: PetrovAA
audio:x:29:pulse,user
dip:x:30:user
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:telnetd
video:x:44:user
sasl:x:45:
plugdev:x:46:user
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
input:x:101:
systemd-journal:x:102:
systemd-timesync:x:103:
systemd-network:x:104:
systemd-resolve:x:105:
systemd-bus-proxy:x:106:
crontab:x:107:
netdev:x:108:user
messagebus:x:109:
ssh:x:110:
ssl-cert:x:111:
lpadmin:x:112:user, PetrovAA
scanner:x:113:user
fly-dm:x:999:
bluetooth:x:114:user
sambashare:x:115:
ftp:x:116:
weston-launch:x:117:user
epmd:x:118:
Debian-exim:x:119:
winbindd_priv:x:120:
pulse:x:121:
pulse-access:x:122:
Debian-snmp:x:123:
ntp:x:124:
logcheck:x:125:
dovecot:x:126:
dovenull:x:127:
telnetd:x:128:
bind:x:129:
avahi:x:130:
ejabberd:x:131:
user:x:1000:
astra-admin:x:1001:user, PetrovAA
astra-console:x:333:user, PetrovAA
vboxusers:x:134:user, PetrovAA

где PetrovAA - пользователь домена windows
 

Fd1501h

Moderator
Сообщения
666
#11
Изменения в /etc/sudoers вносились через команду sudo nano /etc/sudoers и визуально после выполнения этой команды и sudo visudo разницы не вижу, т.к. открывается GNU nano 2.7.4.
Визуально разницы и не будет.
Разница в том, как я уже писал выше, при редактировании через sudo nano /etc/sudoers в случаи ошибки в синтаксисе правил sudo перестанет работать. sudo visudo перед сохранением проверяет корректность правил sudo, в случаи ошибки синтаксиса файл не сохраниться.

sudo:x:27: PetrovAA
....
astra-admin:x:1001:user, PetrovAA
astra-console:x:333:user, PetrovAA
Приведите к исходному состоянию данные строки.

Покажите /etc/sudoers

Зайдите в систему под доменным пользователем и покажите вывод программы: id
 

ludmila

New member
Сообщения
13
#12
Визуально разницы и не будет.
Разница в том, как я уже писал выше, при редактировании через sudo nano /etc/sudoers в случаи ошибки в синтаксисе правил sudo перестанет работать. sudo visudo перед сохранением проверяет корректность правил sudo, в случаи ошибки синтаксиса файл не сохраниться.


Приведите к исходному состоянию данные строки.

Покажите /etc/sudoers

Зайдите в систему под доменным пользователем и покажите вывод программы: id
На всякий случай еще раз вывод предыдущей команды после изменения строк к исходному состоянию под пользователем домена:
PetrovAA@astralin:~$ getent group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:logcheck
tty:x:5:
disk:x:6:user
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:user
floppy:x:25:user
tape:x:26:
sudo:x:27:
audio:x:29:pulse,user
dip:x:30:user
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:telnetd
video:x:44:user
sasl:x:45:
plugdev:x:46:user
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
input:x:101:
systemd-journal:x:102:
systemd-timesync:x:103:
systemd-network:x:104:
systemd-resolve:x:105:
systemd-bus-proxy:x:106:
crontab:x:107:
netdev:x:108:user
messagebus:x:109:
ssh:x:110:
ssl-cert:x:111:
lpadmin:x:112:user
scanner:x:113:user
fly-dm:x:999:
bluetooth:x:114:user
sambashare:x:115:
ftp:x:116:
weston-launch:x:117:user
epmd:x:118:
Debian-exim:x:119:
winbindd_priv:x:120:
pulse:x:121:
pulse-access:x:122:
Debian-snmp:x:123:
ntp:x:124:
logcheck:x:125:
dovecot:x:126:
dovenull:x:127:
telnetd:x:128:
bind:x:129:
avahi:x:130:
ejabberd:x:131:
user:x:1000:
astra-admin:x:1001:user
astra-console:x:333:user
vboxusers:x:132:user, PetrovAA
drweb:x:1002:
kvm:x:133:
rdma:x:134:
libvirt:x:135:
libvirt-qemu:x:64055:libvirt-qemu
nslcd:x:136:

Файл sudoers:
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root ALL=(ALL:ALL) ALL
PetrovAA ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL

Вывод id:
PetrovAA@astralin:~$ id
uid=10127(PetrovAA) gid=10004(пользователи домена) группы=10004(пользователи домена),10001(BUILTIN\users),10022(омис),10023(уис),10024(sh-fscit-common),10025(цит),10026(in_out_domain),10027(softlib_install),10028(offpc),10029(allowhttp),10030(admins_in_yyyy),10031(onoff),10032(жен),10033(screensaver),10034(YYYY30\screensaver),10035(YYYY30\offpc),10036(YYYY30\жен),10037(YYYY30\softlib)
 

alexdexter

New member
Сообщения
5
#13
Подскажите как можно доменного пользователя (домен Windows) добавить в файл sudoers? Сейчас он добавлен в этот файл в формате:
PetrovAA ALL=(ALL:ALL) ALL
PetrovAA@domain.com ALL=(ALL:ALL) ALL
, а также добавлен в группу sudo, но это не работает (не работает команда sudo от имени доменного пользователя).
емнип, в релизах 2.11 и 2.12 работает так:
%доменная_группа ALL=(ALL) ALL
доменный_логин ALL=(ALL) ALL

Я у себя использую вариант с доменной группой.
В 2.11, правда, sudo работало только для одной прописанной в sudoers группы, но с 2.12 всё сразу хорошо :)
 

ludmila

New member
Сообщения
13
#14
емнип, в релизах 2.11 и 2.12 работает так:
%доменная_группа ALL=(ALL) ALL
доменный_логин ALL=(ALL) ALL

Я у себя использую вариант с доменной группой.
В 2.11, правда, sudo работало только для одной прописанной в sudoers группы, но с 2.12 всё сразу хорошо :)
Спасибо!
 

izmeritel

New member
Сообщения
2
#15
Этот юзер добавлен в 2е группы astra-admin и astra-console
Здравствуйте!
А каким образом вы добавили доменного пользователя в эти группы? Админом из консоли? Просто при работе через графические инструменты доменные пользователи не видны в списках (есть только локальные).
 

ludmila

New member
Сообщения
13
#16
Здравствуйте!
А каким образом вы добавили доменного пользователя в эти группы? Админом из консоли? Просто при работе через графические инструменты доменные пользователи не видны в списках (есть только локальные).
Добрый день, да они были добавлены через консоль в версии 2.11. Но сейчас в 2.12 такой необходимости нет, все работает. 2.11 уже не используем. Спасибо.
 

izmeritel

New member
Сообщения
2
#17
Добрый день, да они были добавлены через консоль в версии 2.11. Но сейчас в 2.12 такой необходимости нет, все работает. 2.11 уже не используем. Спасибо.
Прощу прощения, не обратил внимания что это вопрос в ветке про Common Edition, а у меня Special.
 

dimaan29

New member
Сообщения
14
#18
Неужели нет способа добавить доменного пользователя в группу floppy, чтобы он мог монтировать флешки. Кстати у доменного пользователя uid =3001, может в этом дело, что флешки не монтируются?
 

Вложения

Montfer

New member
Сообщения
2 364
#19
Неужели нет способа добавить доменного пользователя в группу floppy, чтобы он мог монтировать флешки. Кстати у доменного пользователя uid =3001, может в этом дело, что флешки не монтируются?
попробуйте в ad создать группу floppy и доменного пользователя добавить в эту группу
после этого залогиниться на астре под доменной учеткой и проверить командой groups
 

dimaan29

New member
Сообщения
14
#20
Нет, не получается, хоть доменный пользователи и находится в группе floppy, но имеет uid 3000, видмо этому uid запрещено монтирование флеш-накопителей. А вот если на астралинуксе создать ЛОКАЛЬНОГО пользователя, то он имеет uid 1000 и ему разрешено монтирование флешек. Нужно какое-то средство, чтобы доменные пользователи входили в систему с uid 1000