Sada je: 18 stu 2019, 16:48.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Vrlo specifična situacija.
Imam Ubuntu 13.10 server spojen na MS AD (linkwise open)
Podignut je OpenSSH server.
u /etc/profile bi dopisao skriptu za mountanje smb shareova
ono što je potrebno je da se ovisno o ulogiranom korisniku, mountaju određeni shareovi

Ono što sam uspio je da se
- detektira kada se ulogira domenski korisnik
- detektira je li korisnik pripada određenoj AD grupi

ono što nisam uspio napraviti da korisnik koji nije root (ili sudoer) mapira share
probao sam dodati mount point u /etc/fstab, no to mi zaustavi izvršavanje skripte i očekuje unos lozinke trenutno ulogiranog korisnika (što želim izbjeć)
i još k tome mi ne dozvoljava montiranje sharea svejedno

kada probam sa sudoer korisnikom mountati share (i unesem domenskog korisnika i lozinku) onda uredno prolazi.



poanta je da se korisnici koji se ne nalaze u mreži, spajaju na sftp, ovisno o korisniku se mountaju shareovi i da može pristupiti zarnim instalacijama



Molim pomoć sa svih strana
Postovi: 11
Postovi: 11
Pridružen/a: 21 svi 2013, 07:25
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: SUSE
ako sam dobro shvatio pitanje, u sudoers mozes dodati da se neka komanda (dakle za sve ostale vrijede normalna pravila) superuser izvrsava bez passworda (NOPASSWD)..
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5677
Postovi: 5677
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
ne, ne želim da iti jedan od tih (stotinjak) korisnika bude sudoer.

Radi se o običnim korisnicima
Postovi: 11
Postovi: 11
Pridružen/a: 21 svi 2013, 07:25
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: SUSE
ssh se može napraviti i passwordless login, ali to bi bilo vezano za jedan te isti host. sudoer ne znači nužno da imaš admin ovlasti, iako je to najčešća implementacija- sudo dozvoljava i gradaciju kontrole, tako da recimo neku specifičnu naredbu možeš izvršiti, ali ništa drugo. Dakle, ako želiš da mapira sahre, onda im daš ovlasti SAMO za to i ništa drugo u sudo.

Imaš i opciju korištenja recimo proftpd koji sa sftp pluginom daje sftp mogućnosti nevezano za openssh server, a isto tako ti dozvoljava i izvrđavanje custom skripti (recimo, mi na jednoj lokaciji tkao imamo sql query u bazu podataka da ti home bude ne ono u fstab već prema drugim parametrima vezanim za geolokaciju)
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 9916
Moderator
Postovi: 9916
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 158 puta
Primio/la zahvalu: 270 puta
Spol: Y
OS: utuntu 17.04
Nisam baš ziher da sam skužila pitanje, ali... :-D

Na ovom linku imaš slično pitanje, kako mountat share bez super user ovlasti:
http://unix.stackexchange.com/questions ... privileges
Avatar
Site Admin
Postovi: 2076
Site Admin
Postovi: 2076
Pridružen/a: 07 pro 2007, 16:30
Lokacija: Zagreb
Podijelio/la zahvalu: 174 puta
Primio/la zahvalu: 278 puta
Spol: Ž
OS: ubuntu 12.04
Pokusaj dodati "user" argument u liniju opcija za mount FS-a.

Npr.
Kod: Označi sve
/foo /bar FSTYPE option1,option2,user,option3 0 0
When you're a kid and you wanna go "Weee !", but you ain't got drugs yet ... You hold out for your life, hold on to your little GONADS ... and STRIFE.
Avatar
Postovi: 910
Postovi: 910
Pridružen/a: 12 svi 2010, 07:57
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 13 puta
OS: linux
tplecko je napisao/la:ne, ne želim da iti jedan od tih (stotinjak) korisnika bude sudoer.

Radi se o običnim korisnicima



kao sto rekoh, u sudoersima pojedini korisnik za pojedinu komandu moze imati superuser ovlasti bez passworda, dok za sve ostale ili nije superuser u bilo kojem slucaju ili moze biti superuser sa passwordom ili moze i bez passworda za sve, siroko ti polje.
alternativa je ovo sto je navela nicky, ali je to nesto sitno kompliciranije.

to sto ih je stotinjak je isto relativno lako izvedivo skriptiranjem.
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5677
Postovi: 5677
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Možeš i sve te korisnike grupirat u par grupa ovisno o tome koje shareove koriste pa onda samo te grupe staviti u sudoers i normalno u sudoersu ograničiti sve ostalo tim grupama osim onoga što im treba.
Avatar
Postovi: 1896
Postovi: 1896
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
Ljudi, hvala na odgovorima, isprobat ću u Utorak sve varijante!
Postovi: 11
Postovi: 11
Pridružen/a: 21 svi 2013, 07:25
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: SUSE

Na mreži
Trenutno korisnika/ca: / i 1 gost.