SSSD 사용자 삭제

tag-icon tag-icon debian users active-directory domain sssd
SSSD 사용자 삭제

이것은 포럼의 첫 번째 질문이므로 내 문제에 대한 중요한 정보를 놓쳤다고 해서 화내지 마십시오.

저는 Debian 8을 사용하고 있으며 SSSD에 따라 Active Directory 도메인(Windows Server 2012)에 가입했습니다.이 튜토리얼.

모든 것이 잘 작동하며 내 AD 계정을 사용하여 로그인할 수 있습니다. 또한 서버에 연결이 허용된 사용자를 수집하기 위해 Active Directory 그룹을 만들었습니다.

다음 명령을 사용하여 이 그룹을 허용합니다.

realm permit -g [email protected]

지금까지는 /home/domain/userActive Directory 계정을 사용하여 Linux 서버에 처음 연결할 때 파일이 생성되었습니다.

그러나 한 사용자의 서버 연결 권한을 취소하고 싶을 때(그래서 그룹에서 계정을 제거합니다.) 해당 폴더는 /home/domain/user서버에 남아 있으며 루트 계정(또는 sudo 권한이 있는 계정)은 Access Denied (ignored)더 이상 권한이 없는 사용자에게 경고 메시지와 함께 연결할 수 있습니다.

마지막으로 허용되지 않는 유일한 방법은 su <deleted user>AD 계정을 삭제하는 것입니다(그러나 권한을 취소할 때마다 AD 계정을 삭제할 수는 없습니다).

제 생각에는 이것은 끔찍한 보안 문제입니다. AD 계정 권한을 취소할 때 Linux 서버에서 사용자(및 해당 폴더)를 명시적으로 삭제할 수 있습니까?

AD와 SSSD 간의 인증에 대한 정보를 공유할 수 있습니까?

아래 구성 파일을 참조하세요.

콘텐츠 /etc/nsswitch.conf:

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

콘텐츠 /etc/sssd/sssd.conf:

[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam

[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYREALM.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = simple
simple_allow_groups = MyGroupAllowed

SSSD를 사용하기 전에 Winbind를 사용해 보았으나 동일한 문제가 발생했습니다.

답변해 주셔서 감사합니다.

답변1

제 생각에는 이것은 끔찍한 보안 문제입니다.

sudo그렇다면 사용자가 Linux 서버의 계정에 연결할 수 있다는 사실이 보안 문제라고 생각하시나요? sudo원래 사용자를 포함하여 이 계정을 사용하여 사용자가 수행한 모든 작업은 그에 따라 기록됩니다 sudo.

당신이 할 수 있는 일은 데몬이 LDAP를 폴링하고 계정을 동기화하는 것입니다. 연결할 수 있는 한 모든 Linux 시스템에 설치할 필요조차 없습니다.

편집: 앞으로 나아가는 또 다른 방법은 . kdestroy이런 식으로/etc/bash.bash_logout 사용자가 할 수 있는 유일한 "해로움"은 로컬이며 루트는 로컬에서 모든 작업을 수행할 수 있으므로 어쨌든 그렇게 할 수 있습니다.

참고: 이는 로컬 관리자가 쉽게 로컬 시스템이 될 수 있고 로컬 시스템이 현재 로그인한 사용자를 가장하고 kdestroy로그아웃 시 Windows 가장을 사용하는 등 로컬 시스템에서 모든 작업을 수행할 수 있다는 점에서 Windows와 매우 유사합니다.

그래서 당신의 질문이 나를 놀라게 했습니다. 실제로 더 나쁜 점은 Windows에서 특정 감사 규칙을 설정하지 않으면 로컬 시스템 가장 사용자를 볼 수 없으며 "현재 어떤 작업을 수행하기 위해 이 로컬 시스템 세션을 제어 jdoe"하는 사람도 볼 수 없다는 것입니다.

관련 정보