[Risolto] chiedere username per operazioni amministrative

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

[Risolto] chiedere username per operazioni amministrative

Messaggio da desperados »

ho un paio di macchine in dominio, l'utente che utilizza la macchina non è amministratore, mentre nel dominio c'è un gruppo amministratori
quando l'utente deve fare qualcosa che richiede un'autorizzazione (installare qualcosa, configurare un dispositivo, ecc.) si apre il popup che chiede la password dell'amministratore locale
io vorrei invece che chiedesse username e password, in modo che uno qualsiasi degli amministratori possa autorizzare l'operazione, senza dover conoscere la password dell'amministratore locale, ma usando il proprio account amministrativo
come posso fare? ho cercato in lungo e in largo ma non ho trovato assolutamente nulla
grazie
Ultima modifica di desperados il venerdì 9 novembre 2018, 12:22, modificato 1 volta in totale.
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: chiedere username per eseguire operazioni amministrative

Messaggio da DoctorStrange »

In linux, qualunque cosa viene vista come un file. Quando l'utente generico cerca di installare un'applicazione, per farlo deve aver acceso a specifiche directory all'interno del file system.

Ti basterà gestire in maniera intelligente la proprietà di queste specifiche directory, che chiunque per poterne accedere dovrà farlo con le piene credenziali di amministratore.

Sospetto comunque che tu parta da presupposti sbagliati.

Se gestisci un network di client, non devi controllare quello che gli utenti fanno sulle macchine, ma il controllo è, di solito, a livello superiore.

Installa un proxy sul gateway, ed un buon firewall, in questo modo riuscirai a controllare ció che gli utenti scaricano o consultano.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

scusa ma non ho capito bene il tuo post
io ho l'utente loggato, deve installare una stampante, gli chiede la password di localadmin
io voglio inserire le mie credenziali di utente amministratore, non voglio ne dovermi riloggare ne dover usare la password di localadmin
perché parli di gateway e firewall ?
grazie
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: chiedere username per eseguire operazioni amministrative

Messaggio da DoctorStrange »

Non conosco precisamente la procedura per installare una stampante, comunque, se per ipotesi il sistema avesse bisogno di installare i necessari files su /opt (solo per fare un esempio, non lo prend3re come certo), allora, per proseguire con l'installazione della suddetta stampante, l'unico utente ammesso a farlo sarà colui che, su quella directory /opt ne avrà sia la proprietà, esplicitata nel campo "owner", sia i permessi di esecuzione, esplicitati dal campo "chmod".

In pratica, dando ik comando "ls -lah /opt", se il risultato fosse:
rwx r-- r-- username usergroup /opt

Questo vuol dire che, l'unico a poter accedere a quella directory, e quindi a poter installare la stampante sarebbe l'utente "username", al quale sono associati anche i permessi di lettura, scrittura ed esecuzione.

Per quanto riguarda proxy e firewall, ti suggerivo solamente che non dovresti oasciare la possibilita ad ogni utente di scsricare ed installare qualunque ciarpame che si puó trovare su internet, altrimenti ben presto ti troverai tutti i client infestati di bloatware, malware e cose di cui liberarsi.

A questo scopo firewall e proxy possono aiutartinin maniera consistente.

In ogni caso, se chiarisci meglio che genere di configurazioni hai e cosa vorresti ottenere, avresti consigli migliori.

Saluti.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

mi è chiaro il punto relativo ai permessi, e come suggerisci non lascio agli utenti fare quello che vogliono, anzi il mio problema nasce proprio da questo! ovvero gli utenti normalmente non possono fare nulla, quella volta che hanno bisogno di fare qualcosa che richiede l'autorizzazione chiamano me o un altro amministratore, ma il sistema chiede la password di localadmin, che è volutamente complessa (12 caratteri random), per cui sarebbe comodo che l'amministratore interpellato potesse completare la richiesta di autorizzazione con le proprie credenziali, cosa che al momento non è possibile. l'unica scelta che mi viene in mente è chiudere la sessione ed entrare con l'utente amministratore, ma è estremamente scomodo. possibile che non ci sia modo di chiedere l'autorizzazione ad un utente che non sia localadmin ?
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: chiedere username per eseguire operazioni amministrative

Messaggio da DoctorStrange »

Di quello che scrivi c'è questa parte che non mi é chiara:
desperados ha scritto: il sistema chiede la password di localadmin, che è volutamente complessa (12 caratteri random), per cui sarebbe comodo che l'amministratore interpellato potesse completare la richiesta di autorizzazione con le proprie credenziali, cosa che al momento non è possibile.
Per quale motivo localadmin non puó completare la richiesta? Hai realizzato qualche procedura custom che cambia in maniera random la password?
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: chiedere username per eseguire operazioni amministrative

Messaggio da Stealth »

Queste operazioni amministrative le devi eseguire da terminale o graficamente? Nel secondo caso non so aiutarti, credo che la scomparsa di gksu non lo impedisca, ma a dire il vero non ne sono neanche sicuro. Su questo aspetta utenti più informati di me.
In caso invece dovessi operare da terminale ci sarebbe sudo -u, prova a dare un'occhiata a questo che è solo il primo che ho trovato, credo ci sia molta documentazione in rete
ciao
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

intanto grazie ad entrambi, allora:
1. la password di localadmin è complessa, ovvero 12 caratteri random, mentre ogni amministratore ricorda perfettamente le proprie credenziali
2. sì il problema è per operazioni da gui, come ad esempio installare una stampante
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: chiedere username per eseguire operazioni amministrative

Messaggio da DoctorStrange »

Per quanto riguarda le credenziali, puoi risolvere in questo kodo, anche se esponi il tuo sistema a potenziali infiltrazioni.

A tutte le directory di sistema interessate alla procedura di installazione, assegni come gruppo un nuovo gruppo che puoi creare allo scopo, e chiamare per esempio "gruppoamministratori".

Cambi poi i permessi associati a tutte queste directory, riferiti al gruppo ed assegni permessi di esecuzione al nuovo gruppo.

In questo modo, tutti gli utenti appartenenti a questo gruppo potranno eseguire ed accedere alle directory alle quali tu hai assegnato come gruppo di appartenenza il "gruppoamministratori".

Alla fine, ti basterà aggiungere utenti a questo gruppo, e tutti questi utenti avranno credenziali per autorizzare queste procedure.

Non só se esistano applicazioni che lo possono fare per via grafica.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

ci vorrebbe una cosa del tipo "tasto destro > esegui come altro utente" come succede in windows
per nautilus ho trovato un'estensione nautilus-admin che però fa' sempre la stessa cosa, ovvero chiede la password di localadmin e non quale utente usare
continuo nella mia ricerca, ma a questo punto credo non sia proprio possibile fare quanto vorrei

tra l'altro ho provato a fare un "pkexec --user adminMauro gnome-tweaks" e mi chiede sempre la password di localAdmin, non quella di adminMauro
quindi l'unica è switchare su adminMauro, fare sudo e poi avviare il comando
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: chiedere username per eseguire operazioni amministrative

Messaggio da DoctorStrange »

Non credo che tu ti sappia servire in maniera adeguata di utenti e gruppi, come sono intesi da Linux. Non è una questione di cambiare utente e far eseguire a quest'ultimo le operazioni, ma è questione di cambiare la proprietà ed il gruppo cui è assegnato quel particolare file, per fare in modo che quello stesso file possa essere eseguito anche da altri utenti, purchè siano parte di un gruppo accreditato.

In questo modo, l'accesso alle procedure di installazione è sotto controllo e loggato.

Serviti di questi strumenti in maniera intelligente, e vedrai che questi problemi li risolverai in fretta.

TweakTools serve solo ad automatizzare alcune pocedure, ma le sue capacità, in termini di gestioni utenti e credenziali di amministratore mi lasciano qualche dubbio.

Credo che per risolvere questo problema, dovrai rassegnarti ad usare un minimo la riga di comando.

Saluti
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

uhm la cosa non mi convince.... se devo configurare la rete, la stampante, installare un programma o qualsiasi altra cosa che richiede un accesso amministratore, dovrei dare a tutti i file e a tutte le cartelle dell'intero disco il gruppo "amministratori"? ma anche così, cosa risolverei dato che l'utente che tenta di installare NON è amministratore? il sistema chiederebbe comunque la password di localadmin.

gnome-tweaks era solo un esempio, ho fatto copia-incolla del comando che ho lanciato per ultimo prima di scrivere il post.
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: chiedere username per eseguire operazioni amministrative

Messaggio da Stealth »

ci vorrebbe una cosa del tipo "tasto destro > esegui come altro utente" come succede in windows
per nautilus ho trovato un'estensione nautilus-admin che però fa' sempre la stessa cosa, ovvero chiede la password di localadmin e non quale utente usare ...
Qui c'è uno script che fa quello che stai dicendo, e anche altre cose, puoi provare a fare modifiche per vedere se riesci ad arrivare alle tue esigenze. In più io non so nulla di implicazioni alla sicurezza e di scripting e il mio aiuto è minuscolo, devi valutare te
ciao
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

@Stealth grazie del link, purtroppo gksu non c'è più nella versione 18 ma potrebbe essere uno spunto per ottenere quello che voglio. ci proverò, grazie!
Avatar utente
Rex Artorius
Prode Principiante
Messaggi: 67
Iscrizione: mercoledì 31 maggio 2017, 20:17
Desktop: GNOME
Distribuzione: Ubuntu 18.10
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggio da Rex Artorius »

desperados [url=https://forum.ubuntu-it.org/viewtopic.php?p=5071330#p5071330][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:@Stealth grazie del link, purtroppo gksu non c'è più nella versione 18 ma potrebbe essere uno spunto per ottenere quello che voglio. ci proverò, grazie!
Guarda se questo articolo sulle alternative a gksu può esserti di aiuto.
https://itsfoss.com/gksu-replacement-ubuntu/
giubbix
Prode Principiante
Messaggi: 123
Iscrizione: venerdì 2 maggio 2014, 0:32
Desktop: plasma
Distribuzione: Kubuntu 22.04.01 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggio da giubbix »

giusto per curiosità dato che volevo farlo anch'io, perchè non usi sudoers con i gruppi di AD? Io non ho l'esigenza di usare la grafica perchè mi collego in ssh e metto a posto quello che desidera l'utente, però non ho capito perchè non lo fai anche tu? E' "solo" per la GUI o mi sfugge qualcosa?
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

in sudoers ci sono i gruppi AD, ma la GUI non mi chiede quale utente usare, mi chiede solo la password di localadmin
giubbix
Prode Principiante
Messaggi: 123
Iscrizione: venerdì 2 maggio 2014, 0:32
Desktop: plasma
Distribuzione: Kubuntu 22.04.01 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggio da giubbix »

si, mi è chiaro. Volevo solo sapere perchè hai bisogno della GUI. Dato che è una procedura che sto per fare anch'io chiedevo un confronto di idee per verificare se mi è sfuggito qualcosa.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

ah ok
sì a me interessa la gui.
ma con la shell come fai scusa?
giubbix
Prode Principiante
Messaggi: 123
Iscrizione: venerdì 2 maggio 2014, 0:32
Desktop: plasma
Distribuzione: Kubuntu 22.04.01 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggio da giubbix »

io do assistenza ad altri sistemisti, mi collego in ssh alla macchina su cui c'è qualcosa che non va o desiderano una configurazione diversa e lo metto a posto. Nei rari casi in cui serve una GUI (tipicamente Oracle setup) uso xming (la macchina dell'ufficio è windows) e in quei pochi casi in cui devo vedere cosa hanno combinato in grafica avvio in remoto x11vnc (in verità è raro perchè l'assistenza è appunto verso sistemisti).
Stampanti è tantissimo tempo che non le configuro, una volta usavo CUPS (proprio perchè si gestisce da remoto). Per questo chiedevo a te, una esperienza diversa può generare una idea più furba della mia, però, scusa, ancora non ho capito come fai tu e perchè ti serve la grafica.
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 4 ospiti