При минимальной установке Rocky9 я хочу, чтобы root должен был ввести пароль пользователя LDAP, чтобы SU для этого пользователя. Я знаю, что это глупый и наивный случай, но это доказательство концепции видов. Но когда я делаю это, обычный пользователь не может запустить 'sudo /bin /su -', хотя есть правило, которое разрешено - они получают ошибку аутентификации, вводя в свой пароль LDAP, но ввод пароля root добивается успеха. Я получаю подобное сообщение в/var/log/secure:
Код: Выделить всё
sudo[28364]: pam_sss(sudo:auth): authentication success; logname=bob uid=121212 euid=0 tty=/dev/pts/1 ruser=bob rhost= user=bob
sudo[28364]: bob : TTY=pts/1 ; PWD=/home/bob ; USER=root ; COMMAND=/bin/su -
sudo[28364]: pam_unix(sudo:session): session opened for user root(uid=0) by bob(uid=121212)
su[28368]: pam_unix(su-l:auth): authentication failure; logname=bob uid=0 euid=0 tty=/dev/pts/1 ruser=root rhost= user=root
sudo[28364]: pam_unix(sudo:session): session closed for user root
Если я не понаблюдаю на строке pam_rootok.so в /etc/pam.d/su, пользователь может 'sudo su', но затем root может привести к любому пользователю без пароля (глупо, я знаю - но я хочу заставить его работать для моего нечетного случая). Как редактировать/etc/pam.d/su, чтобы сохранить возможность для пользователя ввести свой пароль LDAP в 'sudo/bin/su -'? Я искал и пробовал разные вещи, но конфигурация PAM ускользает от меня. Я не хочу давать пароль корня своему пользователю.
Подробнее здесь:
https://stackoverflow.com/questions/795 ... reaks-sudo
Мобильная версия