Смоленск 1.4 Проверка целостности домена

kostia

New member
Сообщения
185
#1
Если завести пользователя (newadmin) с админискими правами в ALD то при попытке провести проверку целостности домена с правами этого пользователя, возникает ошибка
ald-admin test-integrity --admin=newadmin
Вход от имени пользователя 'newadmin'...
Введите пароль администратора ALD 'newadmin': ********
Проверка конфигурации домена..................................ok
Проверка системных принципалов................................-- ОШИБКА:
Ошибка MIT Kerberos V5: Недостаточно прав доступа. Пользователь должен обладать привилегией администратора.
:> Operation requires ``get'' privilege


Связано это вот с чем. Списки контроля доступа в керберосе для пользователя хранятся в файле /etc/krb5kdc/kadm5.acl
вот в таком виде

admin/admin@DOMAIN *
newadmin@DOMAIN ADMCIl admin/admin@DOMAIN
newadmin@NEWADMIN admcil


Для вновь создаваемого админа включается запрет на доступ к принципалу admin/admin (строка newadmin@DOMAIN ADMCIl admin/admin@DOMAIN), а при проверке целостности домена как раз и идет запрос этого принципала.

Если добавить строчку newadmin@DOMAIN * и перезагрузить krb5-admin-server и krb5-kdc то проверка пройдет успешно. Но при следующем добавлении или изменении профиля админа (любого) эта добавленная строчка перезапишется. Файл /etc/krb5kdc/kadm5.acl обновляется доменными службами.

Можно ли как то это исправить? Например подредактировав файл шаблона /etc/ald/config-templates/kadm5.acl
 

cogniter

Moderator
Team Astra Linux
Сообщения
538
#2
есть ли у вас возможность использовать Смоленск 1.5?
 

kostia

New member
Сообщения
185
#4
С вопросом "Как правильно проводить тестирование целостности домена с пользователем отличным от admin/admin" тоже обращаться в техподдержку? Или смысла нет?