我刚刚安装了一个带有 Debian 10 (buster) 的全新虚拟机,并使用pbis.
我现在遇到的情况是:
- 作为 root 用户,我可以
su访问 AD 中的所有其他可用用户,而无需输入密码 - 作为普通用户,
su如果我有正确的密码并输入密码,我只能向其他用户发送信息
在 Debian 的早期版本(如 9)中,不可能做到这一点。
为了加入AD我做了什么:
apt install gnupg -y
wget -O - http://repo.pbis.beyondtrust.com/apt/RPM-GPG-KEY-pbis | apt-key add
wget -O /etc/apt/sources.list.d/pbiso.list http://repo.pbis.beyondtrust.com/apt/pbiso.list
apt-get update
apt-get install pbis-open -y
pbis join full.domain.name.de $ADMINUSER $ADMINPW
pbis set-default-domain full.domain.name.de
/opt/pbis/bin/config UserDomainPrefix PREFIX
/opt/pbis/bin/config AssumeDefaultDomain true
/opt/pbis/bin/config LoginShellTemplate "/bin/bash"
/opt/pbis/bin/config RequireMembershipOf "PREFIX\\admingoup" "PREFIX\\${HOST}-admin" "PREFIX\\${HOST}-user"
/opt/pbis/bin/config HomeDirTemplate "%H/%U"
sed -i '23a%admingroup ALL=(ALL) ALL' /etc/sudoers
sed -i '23a%'${HOST}'-admin ALL=(ALL) ALL' /etc/sudoers
所以其他设置基本都是标准的。这让我抓狂,我找不到在哪里可以查看自 Debian 9 以来命令发生的变化su。
编辑:所以基本上我成为 root
sudo su,然后继续su other.user,它就可以在没有密码提示的情况下工作。
如果我是非root用户,例如“normal.user”,那么su other.user它会要求输入密码,并且只有在我输入正确的密码时才允许我这样做。
答案1
我不知道在哪里可以查看自 Debian 9 以来该
su命令发生了什么变化。
你看看packages.debian.org。
- 在 Debian 9 中该
su命令是由提供的影子包。 - 在 Debian 10 中该
su命令是由提供的util-linux 包。
这种切换会导致一些差异。 ”debian su - 和 su $PATH 差异?“显示出这样的差异。”su 与 su - (在 Debian 上):为什么 PATH 相同?" 是这里的一个问题,其答案已因更改而无效。
因此还出现了几个问题,包括最初 util-linux 软件包没有为su. util-linux 的 NEWS 文件还提到 util-linuxsu有多种 PAM 配置,而不仅仅是一种。您的 BeyondTrust 套餐在 Debian 中安装 PAM 东西。检查它是否可以与suDebian 现在提供的不同版本进行互操作。
进一步阅读
- 洛朗·比贡维尔 (2016-08-02)。请使用util-linux提供的
login/实现passwd。 Debian 错误#833256。 - 阿尔夫·盖达(2018-07-28)。
su再次工作。 Debian 错误#904832。 - 疯狂世界(2017-06-15)。 无法更改 root 密码。 BeyondTrust 错误 #42