[Risolto] chiedere username per operazioni amministrative

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

[Risolto] richiedere username per operazioni amministrative

Messaggio da desperados »

se un utente deve installare una stampante (esempio più semplice) o installare un pacchetto, non può farlo perché è un utente standard
quindi quando fa operazioni amministrative il sistema gli chiede la password dell'utente amministratore locale
ma io invece voglio che mi chieda o che possa inserire credenziali del dominio, o cmq di un utente diverso da quello che mi propone
Ultima modifica di desperados il venerdì 9 novembre 2018, 12:21, modificato 1 volta in totale.
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: chiedere username per eseguire operazioni amministrative

Messaggio da DoctorStrange »

desperados ha scritto:uhm la cosa non mi convince.... se devo configurare la rete, la stampante, installare un programma o qualsiasi altra cosa che richiede un accesso amministratore, dovrei dare a tutti i file e a tutte le cartelle dell'intero disco il gruppo "amministratori"? ma anche così, cosa risolverei dato che l'utente che tenta di installare NON è amministratore? il sistema chiederebbe comunque la password di localadmin.
Non sei tenuto ad aggiungere al gruppo amministratori tutti gli utenti, ed anzi è una pessima idea farlo, perchè espone il sistema a rischi di sicurezza, d'altronde però tu vuoi dare agli utenti la possibilità di installare software (anche una stampante è vista come software, dal sistema), e quindi necessariamente dovrai scendere a compromessi, nel senso che dovrai dare agli utenti l'accesso ad una parte del sistema importante.

Questo vuol dire che dovrai assegnare a quegli stessi utenti, credenziali ed accesso a particolari percorsi che di solito sono proprietà esclusiva di root.

Il mio consiglio era di creare un nuovo gruppo, e lo chiami ad esempio "GruppoStampanti", o come vuoi tu, ed a questo gruppo aggiungi tutti gli utenti che tu decidi che possano installare una stampante.

A questo punto, in base all'applicazione che usi per installare la stampante (ad esempio CUPS), saprai che esistono alcune directory che cups stesso deve poter accedere in lettura e scrittura, per poter installare questa stampante.

Ti sarà sufficiente cambiare il gruppo di appartenenza di queste directory, interessate da cups, nel nuovo gruppo "GruppoStmapanti". In questo modo, tutti gli utenti che appartengono a questo gruppo, potranno accedere a queste directory e quindi, in conseguenza, installare la stampante.

Queste stesse stampanti dovranno avere come permessi di gruppo la terna R-W-X per fare in modo di poter accedere a quella directory.
desperados ha scritto:se un utente deve installare una stampante (esempio più semplice) o installare un pacchetto, non può farlo perché è un utente standard
Quando un utente tenta di installare un pacchetto sul sistema, questo pacchetto deve essere scritto all'interno di una directory che è di proprietà di root, questo vuol dire che se quell'utente non è il root (l'amministratore), cosa succede? Che il sistema operativo, prima di interrompere l'operazione e restituire errore, controlla anche il gruppo di quella stessa directory e, se l'utente appartiene al gruppo, ed il gruppo ha permessi di lettura, scrittura ed esecuzione (R-W-X) su quella directory, allora l'accesso viene ugualmente consentito.
desperados ha scritto:quindi quando fa operazioni amministrative il sistema gli chiede la password dell'utente amministratore locale
ma io invece voglio che mi chieda o che possa inserire credenziali del dominio, o cmq di un utente diverso da quello che mi propone
Questo non succede se quell'utente è parte di quel gruppo che possiede quella directory.

L'utente dovrà prima di tutto autenticarsi sul suo host e viene ricvonosciuto dal sistema tramite la coppia di username e password, come utente riconosciuto ed appartenente al gruppo, in quanto membro di quel gruppo, se lo stesso gruppo ha permesso di accesso a quella directory, allora quell'utente potrà accedervi.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

@DoctorStrange
ciao, a me è tutto chiarissimo, ma forse non riesco a spiegarmi, provo a farlo passo-passo:

Tizio è l'utente utilizzatore del pc, è un utente standard e NON PUO' E NON DEVE avere permessi amministrativi
durante il suo normale utilizzo, succede che debba fare una cosa che richiede permessi amministrativi
succede che il sistema chiede la passord di localadmin, che è l'utente creato in fase di installazione del sistema e che è l'utente autorizzato a fare attività amministrative
ovviamente Tizio non conosce la password e NON DEVE conoscerla, e, ripeto, NON DEVE neppur poter fare tali attività, per cui chiama Caio, che è amministratore di sistema
ora, Caio deve inserire la password di localadmin, che ha una password complessa, salvata in un gestore password
per evitare perdite di tempo e complessità varie, vorrei che invece il sistema permettesse a Caio di usare non localadmin per completare l'attività, ma chiedesse quale utente usare
a quel punto Caio potrebbe usare il suo utente adminCaio, che è un utente amministratore nominativo (altro vantaggio rispetto ad usare localadmin), e di cui conosce ovviamente la password (che è sua, personale)
questo, al momento, non c'è modo di farlo

se anche, come proponi tu, mettessi le cartelle con permessi GruppoAmministratori, il sistema comunque non permette a Caio di usare il suo utente ma sempre e solo localadmin, per cui non risolverebbe la cosa
e, ovviamente, NON VOGLIO che Tizio sia in GruppoAmministratori e possa installare alcunché
spero che così ci capisca meglio la situazione
grazie mille
giubbix
Prode Principiante
Messaggi: 123
Iscrizione: venerdì 2 maggio 2014, 0:32
Desktop: plasma
Distribuzione: Kubuntu 22.04.01 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggio da giubbix »

È chiaro, ma non si capisce perché tu desideri collegarti in remoto ed inserire le credenziali a video. Questo è il metodo a la windows. In linux ci sono altri sistemi che non coinvolgono l'utente finale. Il motivo per cui fai così non lo hai mai condiviso...
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: chiedere username per eseguire operazioni amministrative

Messaggio da DoctorStrange »

desperados ha scritto: Tizio è l'utente utilizzatore del pc, è un utente standard e NON PUO' E NON DEVE avere permessi amministrativi
durante il suo normale utilizzo, succede che debba fare una cosa che richiede permessi amministrativi
succede che il sistema chiede la passord di localadmin, che è l'utente creato in fase di installazione del sistema e che è l'utente autorizzato a fare attività amministrative
ovviamente Tizio non conosce la password e NON DEVE conoscerla, e, ripeto, NON DEVE neppur poter fare tali attività,


Come tu stesso ammetti, Tizio si può trovare nella condizione di dover fare alcune operazioni che richiedono credenziali da amministratore, almeno su questo siamo d'accordo.
desperados ha scritto:per cui chiama Caio, che è amministratore di sistema
ora, Caio deve inserire la password di localadmin, che ha una password complessa, salvata in un gestore password
per evitare perdite di tempo e complessità varie, vorrei che invece il sistema permettesse a Caio di usare non localadmin per completare l'attività, ma chiedesse quale utente usare
a quel punto Caio potrebbe usare il suo utente adminCaio, che è un utente amministratore nominativo (altro vantaggio rispetto ad usare localadmin), e di cui conosce ovviamente la password (che è sua, personale)
Tu sei abituato a pensare in termini di Windows, ma qui la situazione è diversa. Per loggarti in un sistema con un altro username, devi interrompere la sessione corrente, uscire, e rientrare con un username diverso. Non credo sia possibile per uno stesso sistema avere simultaneamente loggati due utenti diversi.

Prova a vedere se riesci a connetterti da remoto, magari tramite SSH mentre su quel sistema è in corso una sessione precedentemente aperta, mi sembra comunque un metodo un pò barbaro, perchè è potenzialmente molto "error prone" nel caso i due utenti cercassero di accedere alle medesime risorse, ma fai un tentativo e vedi se riesci a loggarti da remoto su una macchina e ad installare su quest'ultima un'applicazione, con una sessione in corso, potrebbe funzionare.
desperados ha scritto: se anche, come proponi tu, mettessi le cartelle con permessi GruppoAmministratori, il sistema comunque non permette a Caio di usare il suo utente ma sempre e solo localadmin, per cui non risolverebbe la cosa
Se Caio lo aggiungi a quel gruppo, e dai alle directory di proprieta di quel gruppo tutti i permessi RWX, allora Caio lo potrà fare.
desperados ha scritto: e, ovviamente, NON VOGLIO che Tizio sia in GruppoAmministratori e possa installare alcunché
spero che così ci capisca meglio la situazione
grazie mille
Se Tizio non può installare nulla, allora è sempre e solo Caio, ovvero l'amministratore a poter installare un pacchetto? In quali casi Tizio, ovvero l'utente normale, tu vuoi che possa installare qualcosa?

Inoltre mi sorge un ulteriore dubbio sulla logica generale: tu hai detto che Tizio vuole installare la stampante, per farlo ha bisogno di chiamare Caio, che è l'amministratore, e quest'ultimo può autorizzare la procedura tramite credenziali di amministratore, giusto?

La domanda a questo punto è: in quale modo, il computer di Tizio può sapere che Caio è un amministratore anche della sessione Tizio?

Hai qualche sistema che gestisce gli accessi concorrenti? Qualcosa tipo LDAP, Samba-AccessControl, o simili?
giubbix
Prode Principiante
Messaggi: 123
Iscrizione: venerdì 2 maggio 2014, 0:32
Desktop: plasma
Distribuzione: Kubuntu 22.04.01 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggio da giubbix »

Tu sei abituato a pensare in termini di Windows, ma qui la situazione è diversa. Per loggarti in un sistema con un altro username, devi interrompere la sessione corrente, uscire, e rientrare con un username diverso. Non credo sia possibile per uno stesso sistema avere simultaneamente loggati due utenti diversi.
ma quando mai, Linux è multiutente ancora prima che Windows nascesse... Sullo stesso terminale puoi aprire fino a 6 sessioni testuali (in verità anche più, ma normalmente è preconfigurato così) e fino a 6 sessioni grafiche (fa eccezione KDE che non gestice bene due sessioni contemporanee). Da remoto puoi aprire tutte le sessioni che vuoi, sia grafiche che testuali (in verità dipende dalla potenza di calcolo del computer ricevente).
Prova a vedere se riesci a connetterti da remoto, magari tramite SSH mentre su quel sistema è in corso una sessione precedentemente aperta, mi sembra comunque un metodo un pò barbaro, perchè è potenzialmente molto "error prone" nel caso i due utenti cercassero di accedere alle medesime risorse, ma fai un tentativo e vedi se riesci a loggarti da remoto su una macchina e ad installare su quest'ultima un'applicazione, con una sessione in corso, potrebbe funzionare.
invece è il metodo normale. Se due utenti vogliono accedere alle stesse risorse hai errori o meno a seconda della risorsa. Tipicamente per i file di testo si usa "vi" che avverte quando c'è un'altra sessione aperta (ma lo fa grazie ad un file,m non ad una chiamata di sistema), se uno ignora l'avvertimento o usa un software che non avverte allora l'ultimo che scrive è quello che vince (sovrascrivendo le parti modificate dall'altro utente, anche se non modificate da lui stesso). Se la risorsa può gestire due o più sessioni le gestirà con le sue regole.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

giubbix [url=https://forum.ubuntu-it.org/viewtopic.php?p=5072561#p5072561][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:È chiaro, ma non si capisce perché tu desideri collegarti in remoto ed inserire le credenziali a video. Questo è il metodo a la windows. In linux ci sono altri sistemi che non coinvolgono l'utente finale. Il motivo per cui fai così non lo hai mai condiviso...
scusa ma... dov'è che ho scritto che voglio collegarmi in remoto ?!?!?

DoctorStrange ha scritto:
desperados ha scritto:per cui chiama Caio, che è amministratore di sistema
ora, Caio deve inserire la password di localadmin, che ha una password complessa, salvata in un gestore password
per evitare perdite di tempo e complessità varie, vorrei che invece il sistema permettesse a Caio di usare non localadmin per completare l'attività, ma chiedesse quale utente usare
a quel punto Caio potrebbe usare il suo utente adminCaio, che è un utente amministratore nominativo (altro vantaggio rispetto ad usare localadmin), e di cui conosce ovviamente la password (che è sua, personale)
Tu sei abituato a pensare in termini di Windows, ma qui la situazione è diversa. Per loggarti in un sistema con un altro username, devi interrompere la sessione corrente, uscire, e rientrare con un username diverso. Non credo sia possibile per uno stesso sistema avere simultaneamente loggati due utenti diversi.

Prova a vedere se riesci a connetterti da remoto, magari tramite SSH mentre su quel sistema è in corso una sessione precedentemente aperta, mi sembra comunque un metodo un pò barbaro, perchè è potenzialmente molto "error prone" nel caso i due utenti cercassero di accedere alle medesime risorse, ma fai un tentativo e vedi se riesci a loggarti da remoto su una macchina e ad installare su quest'ultima un'applicazione, con una sessione in corso, potrebbe funzionare.
è appunto quello che pensavo, alla fine devo accedere con l'altro utente, non posso eseguire nulla dentro una sessione altrui
DoctorStrange ha scritto:
desperados ha scritto: se anche, come proponi tu, mettessi le cartelle con permessi GruppoAmministratori, il sistema comunque non permette a Caio di usare il suo utente ma sempre e solo localadmin, per cui non risolverebbe la cosa
Se Caio lo aggiungi a quel gruppo, e dai alle directory di proprieta di quel gruppo tutti i permessi RWX, allora Caio lo potrà fare.
sì ma se tanto devo entrare con la sua sessione, a sto punto funziona già, non serve che cambio i permessi
DoctorStrange ha scritto:
desperados ha scritto: e, ovviamente, NON VOGLIO che Tizio sia in GruppoAmministratori e possa installare alcunché
spero che così ci capisca meglio la situazione
grazie mille
Se Tizio non può installare nulla, allora è sempre e solo Caio, ovvero l'amministratore a poter installare un pacchetto? In quali casi Tizio, ovvero l'utente normale, tu vuoi che possa installare qualcosa?

Inoltre mi sorge un ulteriore dubbio sulla logica generale: tu hai detto che Tizio vuole installare la stampante, per farlo ha bisogno di chiamare Caio, che è l'amministratore, e quest'ultimo può autorizzare la procedura tramite credenziali di amministratore, giusto?

La domanda a questo punto è: in quale modo, il computer di Tizio può sapere che Caio è un amministratore anche della sessione Tizio?

Hai qualche sistema che gestisce gli accessi concorrenti? Qualcosa tipo LDAP, Samba-AccessControl, o simili?
NO, non voglio che l'utente installi, voglio che chiami l'amministratore
e SI, la macchina è in dominio quindi sa' che Caio è amministratore

QUINDI , CONCLUDENDO

alla fine della fiera, non c'è soluzione come voglio io, ma le 3 alternative che mi vengono in mente sono:
1. Caio apre un terminale nella sessione di Tizio, esegue "su Caio", e poi fa' quello che deve fare
2. Tizio chiama Caio, il quale arriva, esce dalla sessione di Tizio, accede al sistema col suo utente, fa' quello che deve fare, termina la sessione e poi Tizio riapre la sua
3. se è un'operazione che si può fare da console, Caio si collega in ssh e fa' quello che deve fare da remoto
giubbix
Prode Principiante
Messaggi: 123
Iscrizione: venerdì 2 maggio 2014, 0:32
Desktop: plasma
Distribuzione: Kubuntu 22.04.01 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggio da giubbix »

desperados ha scritto:scusa ma... dov'è che ho scritto che voglio collegarmi in remoto ?!?!?
in verità tu non hai spiegato nulla benchè io te lo abbia chiesto più di una volta. Come ti dicevo, pure io devo implementare una soluzione con AD e ti chiedevo un confronto, cosa che non è avvenuta... benchè questa sia una comunità...

desperados ha scritto:1. Caio apre un terminale nella sessione di Tizio, esegue "su Caio", e poi fa' quello che deve fare
Corretto
desperados ha scritto:2. Tizio chiama Caio, il quale arriva, esce dalla sessione di Tizio, accede al sistema col suo utente, fa' quello che deve fare, termina la sessione e poi Tizio riapre la sua
A parte che lo si può fare da remoto senza bisogno di alzarsi dalla scrivania, ma comunque una volta arrivato alla postazione può usare una qualsiasi delle 5 console grafiche senza bisogno di sloggare l'utente (e i programmi).
desperados ha scritto:se è un'operazione che si può fare da console, Caio si collega in ssh e fa' quello che deve fare da remoto
Tutto puoi fare da console, anche sessioni grafiche, ti ricordo che Xorg è un server. Quindi anche aprire un programma grafico lo si può fare da ssh
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

giubbix [url=https://forum.ubuntu-it.org/viewtopic.php?p=5072732#p5072732][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
desperados ha scritto:scusa ma... dov'è che ho scritto che voglio collegarmi in remoto ?!?!?
in verità tu non hai spiegato nulla benchè io te lo abbia chiesto più di una volta. Come ti dicevo, pure io devo implementare una soluzione con AD e ti chiedevo un confronto, cosa che non è avvenuta... benchè questa sia una comunità...
bho non capisco veramente, mi avete fatto delle domande mi sembra di avervi sempre risposto... in questo thread non riesco proprio a spiegarmi, mi spiace
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: chiedere username per eseguire operazioni amministrative

Messaggio da desperados »

sto provando KDE Neon 5.14 e fa' esattamente quello che mi serve !
Pike
Rampante Reduce
Rampante Reduce
Messaggi: 5460
Iscrizione: domenica 20 gennaio 2008, 1:13
Desktop: Kubuntu
Distribuzione: 20.04 x64
Contatti:

Re: [Risolto] chiedere username per operazioni amministrativ

Messaggio da Pike »

Fa le cose come tu le vorresti.
Ma la GUI in linux è la shell. Non un Desktop Enviroment... ;)
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: [Risolto] chiedere username per operazioni amministrativ

Messaggio da desperados »

sì certo, ma mentre con la shell faccio "su admin" e risolvo il mio problema, dal DE in Ubuntu non posso
Pike
Rampante Reduce
Rampante Reduce
Messaggi: 5460
Iscrizione: domenica 20 gennaio 2008, 1:13
Desktop: Kubuntu
Distribuzione: 20.04 x64
Contatti:

Re: [Risolto] chiedere username per operazioni amministrativ

Messaggio da Pike »

Perchè è costruito diversamente dall'OS.
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: [Risolto] chiedere username per operazioni amministrativ

Messaggio da desperados »

qualcuno sa come fare ad abilitare questa funzione in Ubuntu (Gnome) e in Kubuntu (KDE)?
Avatar utente
UbuNuovo
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 4433
Iscrizione: sabato 12 dicembre 2009, 20:58
Desktop: Mate
Distribuzione: Ubuntu Mate 22.04.1 LTS
Sesso: Maschile
Contatti:

Re: [Risolto] chiedere username per operazioni amministrativ

Messaggio da UbuNuovo »

Se intendi lo switch utente, gurda se hai dm-tool. Io con Mate ho lightdm e per cambiare sessione grafica di un altro utente posso eseguire:

Codice: Seleziona tutto

dm-tool switch-to-user USERNAME
Salva l'Ucraina! 🇺🇦
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: [Risolto] chiedere username per operazioni amministrativ

Messaggio da desperados »

grazie ma intendo che chieda con quale utente autorizzare una operazione che richiede permessi da amministratore: https://it.wikipedia.org/wiki/PolicyKit (vedi immagine)
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: [Risolto] chiedere username per operazioni amministrativ

Messaggio da desperados »

ho fatto una prova veloce con 2 VM con Kubuntu 19.10 e Mint 19.3 e con entrambe chiede anche l'utente, domani provo con Ubuntu 19.10

EDIT: su Ubuntu (Gnome) 20.04 NON chiede la username
desperados
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 274
Iscrizione: lunedì 1 febbraio 2010, 23:14
Sesso: Maschile
Località: PD

Re: [Risolto] chiedere username per operazioni amministrative

Messaggio da desperados »

sti giorni ho provato anche OpenSUSE (non chiede username) e Fedora (la chiede)
vorrei capire come funziona sta cosa ma non trovo nessuno che conosca polkit né nessuna guida che spieghi questo passaggio
e mi lascia stupito che nessuno in ambito aziendale abbia questa necessità, tutti usano tranquillamente root?
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti