質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.23%

CentOS7上で、LDAP認証を受けたユーザからrootユーザに変更したい。

解決済

回答 4

投稿

  • 評価
  • クリップ 1
  • VIEW 1,256

nansa

score 13

実現したいこと

CentOS7環境でLDAP環境構築を行っております。
LDAPユーザの認証をsssdサービスを使って行っております。
sssdサービスを使って認証うけたLDAPユーザが、ローカルサーバのrootユーザとして、変更したいと考えております。

現在できること

  • サーバのローカルユーザ(centos:wheelグループに所属)で、rootになることはできる。
  • ローカルユーザ(centos)でLDAPユーザ(unyo)としてsuすることはできる。
    su - unyo

unyoユーザで、suコマンドでrootユーザになることは可能なのでしょうか?

発生している問題・エラーメッセージ

上記unyoユーザかrootユーザになろうとすると下記メッセージが出力されて失敗します。

# su - centos
$ su - unyo
パスワード:
-bash-4.2$ id
uid=2001(unyo) gid=2001(ope) groups=2001(ope)
$ su -
パスワード:
su: 拒否されたパーミッション
$ 

実行コマンド・設定ファイル

http://blog.father.gedow.net/2015/09/29/sssd-ldap-sudo/
https://teratail.com/questions/92368
等を参考にして下記コマンドを入力で環境を構築しております。

# yum install sssd sssd-client sssd-ldap openldap-clients
# systemctl enable sssd
# cp /usr/share/doc/sssd-common-1.16.2/sssd-example.conf /etc/sssd/sssd.conf
# chmod 600 /etc/sssd/sssd.conf
# authconfig  --enablesssd --enablesssdauth --enablelocauthorize  --enableldap --enableldapauth --disableldaptls  --update    

# vi /etc/sssd/sssd.conf
--------------------------一部抜粋-----------------------------
[sssd]
config_file_version = 2
services = nss, pam, ssh, sudo
# SSSD will not start if you do not configure any domains.
# Add new domain configurations as [domain/<NAME>] sections, and
# then add the list of domains (in the order you want them to be
# queried) to the "domains" attribute below and uncomment it.
domains = LDAP

[nss]

[pam]

# Example LDAP domain
[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307
ldap_uri = ldap://test104
ldap_search_base = dc=excample,dc=com
ldap_sudo_search_base = ou=Group,dc=excample,dc=com
ldap_id_use_start_tls = False
ldap_tls_reqcert = allow
--------------------------一部抜粋-----------------------------
# systemctl start sssd
# su - centos
$ su - unyo
パスワード:
-bash-4.2$ id
uid=2001(unyo) gid=2001(ope) groups=2001(ope)
$ su -
パスワード:
su: 拒否されたパーミッション
$ 

試したこと

idコマンドで出力されたグループもrootになれるよう、
/etc/sudoersに下記行をvisudoで追記しても結果は同じでした。
%ope        ALL=(ALL)       ALL

ldapサーバのログを/var/log/ldaplogに出力して確認しておりますが、
unyoユーザのLDAP認証自体はうまくbindできている内容が出ておりました。

その他

CentOS Linux release 7.6.1810 (Core)

いろいろと資料を見ておりますが、今回の行いたい内容そのものズバリという情報が見つからず、
質問させていただきました。
また、説明・情報が不足であればご指摘いただければと思います。

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+1

「sudo su -」でも駄目ですか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/05/21 17:25

    「sudo su -」でrootになれたことから/etc/sudoersの設定「%ope ALL=(ALL) ALL」は想定どおりに動いています。
    ところでunyoユーザはrootになる必要があるのでしょうか? (rootの権限さえあればいいのでは?)
    sudoはrootのパスワードを公開せずにroot権限が必要なコマンドの実行を許可する機能なので、rootのパスワードの公開を止め(rootのパスワードは変更し)、かつ「sudo su -」は原則、使用しないように指導した方がいいと思います(「sudo su-」した後の操作はログに残らないので)。
    まあ、私自身、1個、2個のコマンドならsudoでやりますが、多数のコマンドを叩くとか、root権限がないと見えないディレクトリを追いかけていくとかの時は「sudo su -」とやってしまいますが。

    キャンセル

  • 2019/05/22 08:41

    回答ありがとうございます。

    おっしゃる通りで、root権限でコマンドが実行できればいいので、sudoでできる範囲はそうしていきたいと思います。
    ansible等を使っての運用まで、自分自身のスキルも体制もなく、
    また、OSSソフトウェアを最新バージョンで追っていくために、ソースから構築するような運用をしており、多数のコマンドをたたくようなことになりそうです。
    その際は、sudo su - を使うことにどうしてもなりそうですが、別の手立てを考える等で、今後検討していきたいと思います。

    ありがとうございました。

    キャンセル

  • 2019/05/22 09:06

    私の要望に対して、皆様よりいくつかの解決案をいただきました。
    その中で、最終的に一番近い形で実現できそうな回答をいただきましたので、こちらを回答でもってクローズさせていただきたく思います。

    /etc/sudoersにsudoできるグループを追加する。
    基本的にrootでの作業はsudoを使う。
    ただし、複数コマンドを入力する場合は、sudo su - を利用する。
     その場合、ログに残らない場合があるので、別の手立てを検討する。(合わせて、要件として満たせるかも調整する)

    キャンセル

+1

wheelに所属することが出来ないと言うことなら、/etc/pam.d/suから、pam_wheel.soの行を削除してはどうでしょうか。
rootパスワードを知っていれば誰でもsuできるようになってしまいますが。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/05/21 14:56

    引き続き回答いただきありがとうございます。

    LDAPを使わない方法として3点案をいただきました。
    対応方法としては、ログインシェル、もしくはシェルの読み込む設定ファイルでコントロールする方法か、pam_wheel.soの修正ですね。

    設定だけでうまくいかない場合の案としては、検討していきたいと思います。

    キャンセル

  • 2019/05/21 16:58

    suを諦めて、sudoで要件を満たせない理由をつぶす方が早いかも知れません。

    キャンセル

  • 2019/05/22 08:35

    回答いただきありがとうございます。

    確かに、LDAPのユーザで、システム的にroot権限のコマンドの実行が制限できることができればよいので、
    一度、sudoを利用する方向ですすめていきたい思います。
    ありがとうございました。

    キャンセル

+1

このサーバーだけでいいのであれば、usermod -G wheel unyo で unyo ユーザーをローカル(/etc/group)の wheel グループ(補助グループ)に属するようにする方法はダメでしょうか?
/etc/nsswitch.conf の設定で、"group: files sss" と /etc/group, LDAP 両方見るようになっていると思いますので。

(2019/05/21 17:39) 追記

pam_wheel.so の引数に group=ope と指定してグループ名を変更できます。
wheel と ope など、複数グループを指定することはできないようです。

なお、memberUid 属性の値は DN (uid=...) ではなく、UNIX ユーザー名 (unyo) とするのではないでしょうか。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/05/21 11:16

    お忙しい中回答いただきありがとうございます。

    いただいた回答の通り、/etc/nsswitch.confでfilesも指定しているので、/etc/groupのwheelグループにそのユーザを追加してrootにsuできました。

    $ id
    uid=1000(centos) gid=1000(centos) groups=1000(centos),10(wheel)
    $ su - unyo
    パスワード:
    最終ログイン: 2019/05/21 (火) 10:15:58 JST日時 pts/0
    -bash-4.2$ id
    uid=2001(unyo) gid=2001(ope) groups=2001(ope),10(wheel)
    -bash-4.2$ su -
    パスワード:
    最終ログイン: 2019/05/21 (火) 10:17:01 JST日時 pts/0
    # id
    uid=0(root) gid=0(root) groups=0(root)
    # grep wheel /etc/group
    wheel:x:10:centos,scheduler,unyo
    #

    いただいた方法で希望することができました。
    ありがとうございます。

    回答いただいたところ大変申し訳ございませんが、
    最終的に、LDAP上の特定グループ(ope)に所属しているLDAPユーザであれば、rootになれるような設定にしたいと考えております。
    こういったことができるのでしょうか?
    もし可能であれば、どういった設定が必要か知見がございましたら教えていただけますでしょうか?

    LDAP上には、unyoユーザが、opeグループに所属するようmemberUidに設定はしてあります。

    LDAPサーバでは、unyoをopeグループのメンバとして登録しております。
    dn: cn=ope,ou=Group,dc=example,dc=com
    objectClass: posixGroup
    objectClass: top
    cn: ope
    gidNumber: 2001
    memberUid: uid=unyo,ou=People,dc=example,dc=com

    dn: uid=unyo,ou=People,dc=example,dc=com
    uid: unyo
    cn: ss21 unyo user
    objectClass: account
    objectClass: posixAccount
    objectClass: top
    loginShell: /bin/bash
    uidNumber: 2001
    gidNumber: 2001
    homeDirectory: /home/unyo

    キャンセル

+1

やったこと無いので 参考までにですが、LDAP 側で sudo の設定を一元管理して、特定のユーザだけ sudoers で許可するのが 要望に合ってそうに思いました。

ご参考)https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/system-level_authentication_guide/Configuring_Services#sssd-ldap-sudo

また、 man sssd.conf , man sssd-ldap , man sssd-sudo あたりを読むと詳細が書いてます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/05/22 08:58

    回答いただきありがとうございます。

    いただいた回答ですが、少し古いですが、下記内容のことでしょうか?
    https://qiita.com/shufo/items/979985a922d8148fa996
    https://qiita.com/T_Tsan/items/5ea2563450ed2d2ee20f

    他の方でも私の要望と実現性から、いったんは、必要な時だけsudoで対応することとしたいと思います。
    まだ、調査する時間はありますので、引き続き、LDAPでsudoの設定を一元管理する方法を試していきたいと思います。

    キャンセル

  • 2019/05/22 20:42

    qiitaの記事は centos6 なので そのままいけるかどうか不明です。多分、LDAPクライアント側はsssdを使って設定するのかなと思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.23%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る