Pagina 1 di 2

[Risolto] chiedere username per operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 14:53
da desperados
ho un paio di macchine in dominio, l'utente che utilizza la macchina non è amministratore, mentre nel dominio c'è un gruppo amministratori
quando l'utente deve fare qualcosa che richiede un'autorizzazione (installare qualcosa, configurare un dispositivo, ecc.) si apre il popup che chiede la password dell'amministratore locale
io vorrei invece che chiedesse username e password, in modo che uno qualsiasi degli amministratori possa autorizzare l'operazione, senza dover conoscere la password dell'amministratore locale, ma usando il proprio account amministrativo
come posso fare? ho cercato in lungo e in largo ma non ho trovato assolutamente nulla
grazie

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 16:27
da DoctorStrange
In linux, qualunque cosa viene vista come un file. Quando l'utente generico cerca di installare un'applicazione, per farlo deve aver acceso a specifiche directory all'interno del file system.

Ti basterà gestire in maniera intelligente la proprietà di queste specifiche directory, che chiunque per poterne accedere dovrà farlo con le piene credenziali di amministratore.

Sospetto comunque che tu parta da presupposti sbagliati.

Se gestisci un network di client, non devi controllare quello che gli utenti fanno sulle macchine, ma il controllo è, di solito, a livello superiore.

Installa un proxy sul gateway, ed un buon firewall, in questo modo riuscirai a controllare ció che gli utenti scaricano o consultano.

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 16:35
da desperados
scusa ma non ho capito bene il tuo post
io ho l'utente loggato, deve installare una stampante, gli chiede la password di localadmin
io voglio inserire le mie credenziali di utente amministratore, non voglio ne dovermi riloggare ne dover usare la password di localadmin
perché parli di gateway e firewall ?
grazie

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 16:47
da DoctorStrange
Non conosco precisamente la procedura per installare una stampante, comunque, se per ipotesi il sistema avesse bisogno di installare i necessari files su /opt (solo per fare un esempio, non lo prend3re come certo), allora, per proseguire con l'installazione della suddetta stampante, l'unico utente ammesso a farlo sarà colui che, su quella directory /opt ne avrà sia la proprietà, esplicitata nel campo "owner", sia i permessi di esecuzione, esplicitati dal campo "chmod".

In pratica, dando ik comando "ls -lah /opt", se il risultato fosse:
rwx r-- r-- username usergroup /opt

Questo vuol dire che, l'unico a poter accedere a quella directory, e quindi a poter installare la stampante sarebbe l'utente "username", al quale sono associati anche i permessi di lettura, scrittura ed esecuzione.

Per quanto riguarda proxy e firewall, ti suggerivo solamente che non dovresti oasciare la possibilita ad ogni utente di scsricare ed installare qualunque ciarpame che si puó trovare su internet, altrimenti ben presto ti troverai tutti i client infestati di bloatware, malware e cose di cui liberarsi.

A questo scopo firewall e proxy possono aiutartinin maniera consistente.

In ogni caso, se chiarisci meglio che genere di configurazioni hai e cosa vorresti ottenere, avresti consigli migliori.

Saluti.

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 17:26
da desperados
mi è chiaro il punto relativo ai permessi, e come suggerisci non lascio agli utenti fare quello che vogliono, anzi il mio problema nasce proprio da questo! ovvero gli utenti normalmente non possono fare nulla, quella volta che hanno bisogno di fare qualcosa che richiede l'autorizzazione chiamano me o un altro amministratore, ma il sistema chiede la password di localadmin, che è volutamente complessa (12 caratteri random), per cui sarebbe comodo che l'amministratore interpellato potesse completare la richiesta di autorizzazione con le proprie credenziali, cosa che al momento non è possibile. l'unica scelta che mi viene in mente è chiudere la sessione ed entrare con l'utente amministratore, ma è estremamente scomodo. possibile che non ci sia modo di chiedere l'autorizzazione ad un utente che non sia localadmin ?

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 17:55
da DoctorStrange
Di quello che scrivi c'è questa parte che non mi é chiara:

desperados ha scritto: il sistema chiede la password di localadmin, che è volutamente complessa (12 caratteri random), per cui sarebbe comodo che l'amministratore interpellato potesse completare la richiesta di autorizzazione con le proprie credenziali, cosa che al momento non è possibile.


Per quale motivo localadmin non puó completare la richiesta? Hai realizzato qualche procedura custom che cambia in maniera random la password?

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 18:52
da Stealth
Queste operazioni amministrative le devi eseguire da terminale o graficamente? Nel secondo caso non so aiutarti, credo che la scomparsa di gksu non lo impedisca, ma a dire il vero non ne sono neanche sicuro. Su questo aspetta utenti più informati di me.
In caso invece dovessi operare da terminale ci sarebbe sudo -u, prova a dare un'occhiata a questo che è solo il primo che ho trovato, credo ci sia molta documentazione in rete
ciao

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 21:13
da desperados
intanto grazie ad entrambi, allora:
1. la password di localadmin è complessa, ovvero 12 caratteri random, mentre ogni amministratore ricorda perfettamente le proprie credenziali
2. sì il problema è per operazioni da gui, come ad esempio installare una stampante

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 24 luglio 2018, 22:30
da DoctorStrange
Per quanto riguarda le credenziali, puoi risolvere in questo kodo, anche se esponi il tuo sistema a potenziali infiltrazioni.

A tutte le directory di sistema interessate alla procedura di installazione, assegni come gruppo un nuovo gruppo che puoi creare allo scopo, e chiamare per esempio "gruppoamministratori".

Cambi poi i permessi associati a tutte queste directory, riferiti al gruppo ed assegni permessi di esecuzione al nuovo gruppo.

In questo modo, tutti gli utenti appartenenti a questo gruppo potranno eseguire ed accedere alle directory alle quali tu hai assegnato come gruppo di appartenenza il "gruppoamministratori".

Alla fine, ti basterà aggiungere utenti a questo gruppo, e tutti questi utenti avranno credenziali per autorizzare queste procedure.

Non só se esistano applicazioni che lo possono fare per via grafica.

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: mercoledì 25 luglio 2018, 9:17
da desperados
ci vorrebbe una cosa del tipo "tasto destro > esegui come altro utente" come succede in windows
per nautilus ho trovato un'estensione nautilus-admin che però fa' sempre la stessa cosa, ovvero chiede la password di localadmin e non quale utente usare
continuo nella mia ricerca, ma a questo punto credo non sia proprio possibile fare quanto vorrei

tra l'altro ho provato a fare un "pkexec --user adminMauro gnome-tweaks" e mi chiede sempre la password di localAdmin, non quella di adminMauro
quindi l'unica è switchare su adminMauro, fare sudo e poi avviare il comando

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: mercoledì 25 luglio 2018, 10:19
da DoctorStrange
Non credo che tu ti sappia servire in maniera adeguata di utenti e gruppi, come sono intesi da Linux. Non è una questione di cambiare utente e far eseguire a quest'ultimo le operazioni, ma è questione di cambiare la proprietà ed il gruppo cui è assegnato quel particolare file, per fare in modo che quello stesso file possa essere eseguito anche da altri utenti, purchè siano parte di un gruppo accreditato.

In questo modo, l'accesso alle procedure di installazione è sotto controllo e loggato.

Serviti di questi strumenti in maniera intelligente, e vedrai che questi problemi li risolverai in fretta.

TweakTools serve solo ad automatizzare alcune pocedure, ma le sue capacità, in termini di gestioni utenti e credenziali di amministratore mi lasciano qualche dubbio.

Credo che per risolvere questo problema, dovrai rassegnarti ad usare un minimo la riga di comando.

Saluti

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: mercoledì 25 luglio 2018, 10:40
da desperados
uhm la cosa non mi convince.... se devo configurare la rete, la stampante, installare un programma o qualsiasi altra cosa che richiede un accesso amministratore, dovrei dare a tutti i file e a tutte le cartelle dell'intero disco il gruppo "amministratori"? ma anche così, cosa risolverei dato che l'utente che tenta di installare NON è amministratore? il sistema chiederebbe comunque la password di localadmin.

gnome-tweaks era solo un esempio, ho fatto copia-incolla del comando che ho lanciato per ultimo prima di scrivere il post.

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: mercoledì 25 luglio 2018, 11:20
da Stealth
ci vorrebbe una cosa del tipo "tasto destro > esegui come altro utente" come succede in windows
per nautilus ho trovato un'estensione nautilus-admin che però fa' sempre la stessa cosa, ovvero chiede la password di localadmin e non quale utente usare ...


Qui c'è uno script che fa quello che stai dicendo, e anche altre cose, puoi provare a fare modifiche per vedere se riesci ad arrivare alle tue esigenze. In più io non so nulla di implicazioni alla sicurezza e di scripting e il mio aiuto è minuscolo, devi valutare te
ciao

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: mercoledì 25 luglio 2018, 11:42
da desperados
@Stealth grazie del link, purtroppo gksu non c'è più nella versione 18 ma potrebbe essere uno spunto per ottenere quello che voglio. ci proverò, grazie!

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: mercoledì 25 luglio 2018, 12:19
da Rex Artorius
desperados Immagine ha scritto:@Stealth grazie del link, purtroppo gksu non c'è più nella versione 18 ma potrebbe essere uno spunto per ottenere quello che voglio. ci proverò, grazie!

Guarda se questo articolo sulle alternative a gksu può esserti di aiuto.
https://itsfoss.com/gksu-replacement-ubuntu/

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 31 luglio 2018, 0:03
da giubbix
giusto per curiosità dato che volevo farlo anch'io, perchè non usi sudoers con i gruppi di AD? Io non ho l'esigenza di usare la grafica perchè mi collego in ssh e metto a posto quello che desidera l'utente, però non ho capito perchè non lo fai anche tu? E' "solo" per la GUI o mi sfugge qualcosa?

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 31 luglio 2018, 8:49
da desperados
in sudoers ci sono i gruppi AD, ma la GUI non mi chiede quale utente usare, mi chiede solo la password di localadmin

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 31 luglio 2018, 17:16
da giubbix
si, mi è chiaro. Volevo solo sapere perchè hai bisogno della GUI. Dato che è una procedura che sto per fare anch'io chiedevo un confronto di idee per verificare se mi è sfuggito qualcosa.

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: martedì 31 luglio 2018, 22:47
da desperados
ah ok
sì a me interessa la gui.
ma con la shell come fai scusa?

Re: chiedere username per eseguire operazioni amministrative

MessaggioInviato: mercoledì 1 agosto 2018, 0:42
da giubbix
io do assistenza ad altri sistemisti, mi collego in ssh alla macchina su cui c'è qualcosa che non va o desiderano una configurazione diversa e lo metto a posto. Nei rari casi in cui serve una GUI (tipicamente Oracle setup) uso xming (la macchina dell'ufficio è windows) e in quei pochi casi in cui devo vedere cosa hanno combinato in grafica avvio in remoto x11vnc (in verità è raro perchè l'assistenza è appunto verso sistemisti).
Stampanti è tantissimo tempo che non le configuro, una volta usavo CUPS (proprio perchè si gestisce da remoto). Per questo chiedevo a te, una esperienza diversa può generare una idea più furba della mia, però, scusa, ancora non ho capito come fai tu e perchè ti serve la grafica.