Права системного администратора в Fly и доменная учетная запись

agro_fit

New member
Сообщения
33
#1
Screenshot_20191113_111400.png


Астра Орел 2.12 в домене AD. Хотелось бы, чтобы удаленно подключившийся к пользователю администратор мог изменить настройки в графическом режиме под своей учетной записью из домена AD. По умолчанию запрашивается пароль локального администратора (в моем случае это user).
Bash:
ps aux| grep polkit-agent-helper-1
root      2881  0.0  0.1 133156  6972 ?        S    11:22   0:00 /usr/lib/policykit-1/polkit-agent-helper-1 user
Файлы конфигурации имеют следующий вид
Bash:
ls /etc/polkit-1/localauthority.conf.d/*
/etc/polkit-1/localauthority.conf.d/50-localauthority.conf
/etc/polkit-1/localauthority.conf.d/51-debian-sudo.conf

cat /etc/polkit-1/localauthority.conf.d/50-localauthority.conf
# Configuration file for the PolicyKit Local Authority.
#
# DO NOT EDIT THIS FILE, it will be overwritten on update.
#
# See the pklocalauthority(8) man page for more information
# about configuring the Local Authority.
#

[Configuration]
AdminIdentities=unix-user:0

cat /etc/polkit-1/localauthority.conf.d/51-debian-sudo.conf
[Configuration]
AdminIdentities=unix-group:astra-admin
Создаю свой конфиг, перекрывающий стандартные настройки. Переопределим запрашиваемого администратора на пользователя 555555 из домена AD.
Bash:
sudo vim /etc/polkit-1/localauthority.conf.d/54-domain-admin.conf

[Configuration]
#AdminIdentities=unix-user:555555   -----> такой вариант не работает, ошибка авторизации. id пользователя 3009
#AdminIdentities=unix-user:3009     -----> можно так, но не уверен, что на разных машинах пользователь получит одинаковый id
AdminIdentities=unix-user:ДОМЕН\\555555
Лог удачной попытки изменения настроек. 73511 - пользователь, который работает на машине, 3000 - его id.
Bash:
ноя 13 12:25:18 astra polkit-agent-helper-1[8803]: pam_unix(polkit-1:auth): authentication failure; logname= uid=3000 euid=0 tty= ruser=555555 rhost=  user=555555
ноя 13 12:25:18 astra polkitd(authority=local)[639]: Operator of unix-session:4 successfully authenticated as unix-user:555555 to gain TEMPORARY authorization for action ru.rusbitech.fly.date.set-time for system-bus-name::1.258 [fly-admin-date --toggle] (owned by unix-user:73511)
Если добавить еще пользователя - начинаются проблемы. Появившееся окно предлагает выбрать одного из пользователей, а сразу после выбора "Ошибка авторизации".
Bash:
cat /etc/polkit-1/localauthority.conf.d/54-domain-admin.conf
[Configuration]
AdminIdentities=unix-user:ДОМЕН\\555555;unix-user:ДОМЕН\\888888

ноя 13 12:33:14 astra polkitd(authority=local)[639]: Operator of unix-session:4 FAILED to authenticate to gain authorization for action ru.rusbitech.fly.date.set-time for system-bus-name::1.264 [fly-admin-date --toggle] (owned by unix-user:73511)
Обидно, учитывая, что для двух локальных пользователей все отлично работает.
Bash:
cat /etc/polkit-1/localauthority.conf.d/54-domain-admin.conf
[Configuration]
AdminIdentities=unix-user:user;unix-user:test

ноя 13 12:42:11 astra polkitd(authority=local)[639]: Operator of unix-session:4 successfully authenticated as unix-user:test to gain TEMPORARY authorization for action ru.rusbitech.fly.date.set-time for system-bus-name::1.284 [fly-admin-date --toggle] (owned by unix-user:73511)
Подключить группу домена мне никак не удалось. Можно добавить доменного пользователя в локальную группу, переопределить администратора на члена этой группы, но, если добавить еще одного доменного пользователя, эта конструкция перестает работать.

Каким образом можно заставить систему принимать данные нескольких доменных пользователей в запросе администратора в Fly? Отдельное спасибо тому, кто объяснит логику такого странного поведения.
 
Последнее редактирование:

agro_fit

New member
Сообщения
33
#4
Кому удалось обуздать Астру и начать администрировать ее в графической оболочке удаленного рабочего стола - поделитесь опытом!
 

at0mix

New member
Сообщения
54
#5
в файле /etc/samba/smb.conf изменим опцию winbind use default domain на yes, то можно заходить в систему без указания домена
на винде завести группу astra-admin, включить в нее админов
в судоерсе написать для группы astra-admin nopassword
 

agro_fit

New member
Сообщения
33
#6
в судоерсе написать для группы astra-admin nopassword
Даже писать не надо, для astra-admin sudo без пароля по умолчанию.

Создание в домене astra-admin, добавление в нее админов не решило проблемы аутентификации PolicyKit1 - система предложила выбор только из списка пользователей локальной группы astra-admin. А вот sudo действительно стал работать и под админами.