доступ запрещен для root:
root
может быть запрещен прямой доступ к сети. Это полезно на хостах, подключенных к интернету, поскольку требует, чтобы вы вошли в систему как smith
, а затем sudo
.
некоторые вещи, которые root не может сделать:
Это НЕ из-за отсутствия привилегий. Я не вижу ничего, что root не мог бы сделать, однако некоторые технические вопросы могут быть восприняты как "запрещенные".
Я root, почему я не могу создать/удалить этот файл, а обычный пользователь может?
Вы находитесь на общем ресурсе NFS/samba, и вам не были даны специальные полномочия (access=
). Обычный пользователь не имеет права. (см. локальный и удаленный root ниже)
Я root, почему я не могу убить этот процесс?
Есть ожидающий ввод-вывод и физический диск/удаленный LUN были отключены, процесс может быть убит только перезагрузкой.
Я root, как мне узнать пароль archemar?
Вы можете su - archemar
, или изменить пароль archemar, не зная предыдущего, но вы не сможете прочитать его (если не использовать кейлоггер), так как пароли хранятся с помощью одностороннего хэша.
локальный и удаленный root
Теперь
cp /bin/bash /nfs/home/me/bash
chown root /nfs/home/me/bash
chmod u+s /nfs/home/me/bash
просто зайдите на NFS сервер, запустите ./bash
и вы - root на сервере компании/университета.
Документация SSSD подробно описывает это. По сути, по умолчанию, когда SSSD используется для присоединения к новому домену, он назначает блок UID, предназначенный быть уникальным для этого домена, который переопределяет любой, который AD мог назначить. Это позволяет использовать несколько доменов и гарантирует, что пользователи из всех доменов получат уникальные UID.
Эта часть документов, я думаю, дает вам необходимую информацию. (В общем, установите ldap_id_mapping = False
, перезапустите SSSD и очистите кеши)
Альтернативное решение, использующее этот sssd.conf, работает отлично, основано на настройке ldapclient для Solaris.
[sssd]
domains = server.example
config_file_version = 2
services = nss, pam
[domain/server.example]
ad_domain = server.example
krb5_realm = SERVER.EXAMPLE
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
krb5_store_password_if_offline = True
default_shell = /bin/bash
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
min_id = 10000
max_id = 20000
override_homedir = /home/%u
access_provider = ldap
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = ldap://windowserver.example.domain
ldap_search_base = dc=server,dc=example
ldap_default_bind_dn = cn=proxyldap,cn=Users,dc=server,dc=example
ldap_default_authtok_type = password
ldap_default_authtok = *********YOURPASSHERE*****
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_schema = rfc2307bis
ldap_user_principal = userPrincipalName
ldap_user_fullname = displayName
ldap_user_name = sAMAccountName
ldap_user_object_class = user
ldap_user_home_directory = unixHomeDirectory
ldap_user_shell = msSFU30LoginShell
ldap_group_object_class = group
ldap_force_upper_case_realm = true
ldap_group_uuid = objectGUID
ldap_user_uuid = objectGUID
ldap_user_gid_number = gidNumber
ldap_user_uid_number = uidNumber