[Risolto] chiedere username per operazioni amministrative

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

[Risolto] chiedere username per operazioni amministrative

Messaggioda desperados » martedì 24 luglio 2018, 14:53

ho un paio di macchine in dominio, l'utente che utilizza la macchina non è amministratore, mentre nel dominio c'è un gruppo amministratori
quando l'utente deve fare qualcosa che richiede un'autorizzazione (installare qualcosa, configurare un dispositivo, ecc.) si apre il popup che chiede la password dell'amministratore locale
io vorrei invece che chiedesse username e password, in modo che uno qualsiasi degli amministratori possa autorizzare l'operazione, senza dover conoscere la password dell'amministratore locale, ma usando il proprio account amministrativo
come posso fare? ho cercato in lungo e in largo ma non ho trovato assolutamente nulla
grazie
Ultima modifica di desperados il venerdì 9 novembre 2018, 13:22, modificato 1 volta in totale.
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda DoctorStrange » martedì 24 luglio 2018, 16:27

In linux, qualunque cosa viene vista come un file. Quando l'utente generico cerca di installare un'applicazione, per farlo deve aver acceso a specifiche directory all'interno del file system.

Ti basterà gestire in maniera intelligente la proprietà di queste specifiche directory, che chiunque per poterne accedere dovrà farlo con le piene credenziali di amministratore.

Sospetto comunque che tu parta da presupposti sbagliati.

Se gestisci un network di client, non devi controllare quello che gli utenti fanno sulle macchine, ma il controllo è, di solito, a livello superiore.

Installa un proxy sul gateway, ed un buon firewall, in questo modo riuscirai a controllare ció che gli utenti scaricano o consultano.
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1348
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » martedì 24 luglio 2018, 16:35

scusa ma non ho capito bene il tuo post
io ho l'utente loggato, deve installare una stampante, gli chiede la password di localadmin
io voglio inserire le mie credenziali di utente amministratore, non voglio ne dovermi riloggare ne dover usare la password di localadmin
perché parli di gateway e firewall ?
grazie
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda DoctorStrange » martedì 24 luglio 2018, 16:47

Non conosco precisamente la procedura per installare una stampante, comunque, se per ipotesi il sistema avesse bisogno di installare i necessari files su /opt (solo per fare un esempio, non lo prend3re come certo), allora, per proseguire con l'installazione della suddetta stampante, l'unico utente ammesso a farlo sarà colui che, su quella directory /opt ne avrà sia la proprietà, esplicitata nel campo "owner", sia i permessi di esecuzione, esplicitati dal campo "chmod".

In pratica, dando ik comando "ls -lah /opt", se il risultato fosse:
rwx r-- r-- username usergroup /opt

Questo vuol dire che, l'unico a poter accedere a quella directory, e quindi a poter installare la stampante sarebbe l'utente "username", al quale sono associati anche i permessi di lettura, scrittura ed esecuzione.

Per quanto riguarda proxy e firewall, ti suggerivo solamente che non dovresti oasciare la possibilita ad ogni utente di scsricare ed installare qualunque ciarpame che si puó trovare su internet, altrimenti ben presto ti troverai tutti i client infestati di bloatware, malware e cose di cui liberarsi.

A questo scopo firewall e proxy possono aiutartinin maniera consistente.

In ogni caso, se chiarisci meglio che genere di configurazioni hai e cosa vorresti ottenere, avresti consigli migliori.

Saluti.
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1348
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » martedì 24 luglio 2018, 17:26

mi è chiaro il punto relativo ai permessi, e come suggerisci non lascio agli utenti fare quello che vogliono, anzi il mio problema nasce proprio da questo! ovvero gli utenti normalmente non possono fare nulla, quella volta che hanno bisogno di fare qualcosa che richiede l'autorizzazione chiamano me o un altro amministratore, ma il sistema chiede la password di localadmin, che è volutamente complessa (12 caratteri random), per cui sarebbe comodo che l'amministratore interpellato potesse completare la richiesta di autorizzazione con le proprie credenziali, cosa che al momento non è possibile. l'unica scelta che mi viene in mente è chiudere la sessione ed entrare con l'utente amministratore, ma è estremamente scomodo. possibile che non ci sia modo di chiedere l'autorizzazione ad un utente che non sia localadmin ?
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda DoctorStrange » martedì 24 luglio 2018, 17:55

Di quello che scrivi c'è questa parte che non mi é chiara:

desperados ha scritto: il sistema chiede la password di localadmin, che è volutamente complessa (12 caratteri random), per cui sarebbe comodo che l'amministratore interpellato potesse completare la richiesta di autorizzazione con le proprie credenziali, cosa che al momento non è possibile.


Per quale motivo localadmin non puó completare la richiesta? Hai realizzato qualche procedura custom che cambia in maniera random la password?
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1348
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda Stealth » martedì 24 luglio 2018, 18:52

Queste operazioni amministrative le devi eseguire da terminale o graficamente? Nel secondo caso non so aiutarti, credo che la scomparsa di gksu non lo impedisca, ma a dire il vero non ne sono neanche sicuro. Su questo aspetta utenti più informati di me.
In caso invece dovessi operare da terminale ci sarebbe sudo -u, prova a dare un'occhiata a questo che è solo il primo che ho trovato, credo ci sia molta documentazione in rete
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15447
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » martedì 24 luglio 2018, 21:13

intanto grazie ad entrambi, allora:
1. la password di localadmin è complessa, ovvero 12 caratteri random, mentre ogni amministratore ricorda perfettamente le proprie credenziali
2. sì il problema è per operazioni da gui, come ad esempio installare una stampante
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda DoctorStrange » martedì 24 luglio 2018, 22:30

Per quanto riguarda le credenziali, puoi risolvere in questo kodo, anche se esponi il tuo sistema a potenziali infiltrazioni.

A tutte le directory di sistema interessate alla procedura di installazione, assegni come gruppo un nuovo gruppo che puoi creare allo scopo, e chiamare per esempio "gruppoamministratori".

Cambi poi i permessi associati a tutte queste directory, riferiti al gruppo ed assegni permessi di esecuzione al nuovo gruppo.

In questo modo, tutti gli utenti appartenenti a questo gruppo potranno eseguire ed accedere alle directory alle quali tu hai assegnato come gruppo di appartenenza il "gruppoamministratori".

Alla fine, ti basterà aggiungere utenti a questo gruppo, e tutti questi utenti avranno credenziali per autorizzare queste procedure.

Non só se esistano applicazioni che lo possono fare per via grafica.
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1348
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » mercoledì 25 luglio 2018, 9:17

ci vorrebbe una cosa del tipo "tasto destro > esegui come altro utente" come succede in windows
per nautilus ho trovato un'estensione nautilus-admin che però fa' sempre la stessa cosa, ovvero chiede la password di localadmin e non quale utente usare
continuo nella mia ricerca, ma a questo punto credo non sia proprio possibile fare quanto vorrei

tra l'altro ho provato a fare un "pkexec --user adminMauro gnome-tweaks" e mi chiede sempre la password di localAdmin, non quella di adminMauro
quindi l'unica è switchare su adminMauro, fare sudo e poi avviare il comando
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda DoctorStrange » mercoledì 25 luglio 2018, 10:19

Non credo che tu ti sappia servire in maniera adeguata di utenti e gruppi, come sono intesi da Linux. Non è una questione di cambiare utente e far eseguire a quest'ultimo le operazioni, ma è questione di cambiare la proprietà ed il gruppo cui è assegnato quel particolare file, per fare in modo che quello stesso file possa essere eseguito anche da altri utenti, purchè siano parte di un gruppo accreditato.

In questo modo, l'accesso alle procedure di installazione è sotto controllo e loggato.

Serviti di questi strumenti in maniera intelligente, e vedrai che questi problemi li risolverai in fretta.

TweakTools serve solo ad automatizzare alcune pocedure, ma le sue capacità, in termini di gestioni utenti e credenziali di amministratore mi lasciano qualche dubbio.

Credo che per risolvere questo problema, dovrai rassegnarti ad usare un minimo la riga di comando.

Saluti
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1348
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » mercoledì 25 luglio 2018, 10:40

uhm la cosa non mi convince.... se devo configurare la rete, la stampante, installare un programma o qualsiasi altra cosa che richiede un accesso amministratore, dovrei dare a tutti i file e a tutte le cartelle dell'intero disco il gruppo "amministratori"? ma anche così, cosa risolverei dato che l'utente che tenta di installare NON è amministratore? il sistema chiederebbe comunque la password di localadmin.

gnome-tweaks era solo un esempio, ho fatto copia-incolla del comando che ho lanciato per ultimo prima di scrivere il post.
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda Stealth » mercoledì 25 luglio 2018, 11:20

ci vorrebbe una cosa del tipo "tasto destro > esegui come altro utente" come succede in windows
per nautilus ho trovato un'estensione nautilus-admin che però fa' sempre la stessa cosa, ovvero chiede la password di localadmin e non quale utente usare ...


Qui c'è uno script che fa quello che stai dicendo, e anche altre cose, puoi provare a fare modifiche per vedere se riesci ad arrivare alle tue esigenze. In più io non so nulla di implicazioni alla sicurezza e di scripting e il mio aiuto è minuscolo, devi valutare te
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15447
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » mercoledì 25 luglio 2018, 11:42

@Stealth grazie del link, purtroppo gksu non c'è più nella versione 18 ma potrebbe essere uno spunto per ottenere quello che voglio. ci proverò, grazie!
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda Rex Artorius » mercoledì 25 luglio 2018, 12:19

desperados Immagine ha scritto:@Stealth grazie del link, purtroppo gksu non c'è più nella versione 18 ma potrebbe essere uno spunto per ottenere quello che voglio. ci proverò, grazie!

Guarda se questo articolo sulle alternative a gksu può esserti di aiuto.
https://itsfoss.com/gksu-replacement-ubuntu/
Avatar utente
Rex Artorius
Prode Principiante
 
Messaggi: 67
Iscrizione: maggio 2017
Desktop: GNOME
Distribuzione: Ubuntu 18.10
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda giubbix » martedì 31 luglio 2018, 0:03

giusto per curiosità dato che volevo farlo anch'io, perchè non usi sudoers con i gruppi di AD? Io non ho l'esigenza di usare la grafica perchè mi collego in ssh e metto a posto quello che desidera l'utente, però non ho capito perchè non lo fai anche tu? E' "solo" per la GUI o mi sfugge qualcosa?
giubbix
Prode Principiante
 
Messaggi: 91
Iscrizione: maggio 2014
Desktop: plasma
Distribuzione: Kubuntu 18.04 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » martedì 31 luglio 2018, 8:49

in sudoers ci sono i gruppi AD, ma la GUI non mi chiede quale utente usare, mi chiede solo la password di localadmin
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda giubbix » martedì 31 luglio 2018, 17:16

si, mi è chiaro. Volevo solo sapere perchè hai bisogno della GUI. Dato che è una procedura che sto per fare anch'io chiedevo un confronto di idee per verificare se mi è sfuggito qualcosa.
giubbix
Prode Principiante
 
Messaggi: 91
Iscrizione: maggio 2014
Desktop: plasma
Distribuzione: Kubuntu 18.04 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » martedì 31 luglio 2018, 22:47

ah ok
sì a me interessa la gui.
ma con la shell come fai scusa?
desperados
Prode Principiante
 
Messaggi: 133
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda giubbix » mercoledì 1 agosto 2018, 0:42

io do assistenza ad altri sistemisti, mi collego in ssh alla macchina su cui c'è qualcosa che non va o desiderano una configurazione diversa e lo metto a posto. Nei rari casi in cui serve una GUI (tipicamente Oracle setup) uso xming (la macchina dell'ufficio è windows) e in quei pochi casi in cui devo vedere cosa hanno combinato in grafica avvio in remoto x11vnc (in verità è raro perchè l'assistenza è appunto verso sistemisti).
Stampanti è tantissimo tempo che non le configuro, una volta usavo CUPS (proprio perchè si gestisce da remoto). Per questo chiedevo a te, una esperienza diversa può generare una idea più furba della mia, però, scusa, ancora non ho capito come fai tu e perchè ti serve la grafica.
giubbix
Prode Principiante
 
Messaggi: 91
Iscrizione: maggio 2014
Desktop: plasma
Distribuzione: Kubuntu 18.04 x86_64

Successiva

Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 14 ospiti