chiedere username per eseguire operazioni amministrative

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » giovedì 2 agosto 2018, 20:50

se un utente deve installare una stampante (esempio più semplice) o installare un pacchetto, non può farlo perché è un utente standard
quindi quando fa operazioni amministrative il sistema gli chiede la password dell'utente amministratore locale
ma io invece voglio che mi chieda o che possa inserire credenziali del dominio, o cmq di un utente diverso da quello che mi propone
desperados
Prode Principiante
 
Messaggi: 125
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda DoctorStrange » venerdì 3 agosto 2018, 8:54

desperados ha scritto:uhm la cosa non mi convince.... se devo configurare la rete, la stampante, installare un programma o qualsiasi altra cosa che richiede un accesso amministratore, dovrei dare a tutti i file e a tutte le cartelle dell'intero disco il gruppo "amministratori"? ma anche così, cosa risolverei dato che l'utente che tenta di installare NON è amministratore? il sistema chiederebbe comunque la password di localadmin.


Non sei tenuto ad aggiungere al gruppo amministratori tutti gli utenti, ed anzi è una pessima idea farlo, perchè espone il sistema a rischi di sicurezza, d'altronde però tu vuoi dare agli utenti la possibilità di installare software (anche una stampante è vista come software, dal sistema), e quindi necessariamente dovrai scendere a compromessi, nel senso che dovrai dare agli utenti l'accesso ad una parte del sistema importante.

Questo vuol dire che dovrai assegnare a quegli stessi utenti, credenziali ed accesso a particolari percorsi che di solito sono proprietà esclusiva di root.

Il mio consiglio era di creare un nuovo gruppo, e lo chiami ad esempio "GruppoStampanti", o come vuoi tu, ed a questo gruppo aggiungi tutti gli utenti che tu decidi che possano installare una stampante.

A questo punto, in base all'applicazione che usi per installare la stampante (ad esempio CUPS), saprai che esistono alcune directory che cups stesso deve poter accedere in lettura e scrittura, per poter installare questa stampante.

Ti sarà sufficiente cambiare il gruppo di appartenenza di queste directory, interessate da cups, nel nuovo gruppo "GruppoStmapanti". In questo modo, tutti gli utenti che appartengono a questo gruppo, potranno accedere a queste directory e quindi, in conseguenza, installare la stampante.

Queste stesse stampanti dovranno avere come permessi di gruppo la terna R-W-X per fare in modo di poter accedere a quella directory.

desperados ha scritto:se un utente deve installare una stampante (esempio più semplice) o installare un pacchetto, non può farlo perché è un utente standard


Quando un utente tenta di installare un pacchetto sul sistema, questo pacchetto deve essere scritto all'interno di una directory che è di proprietà di root, questo vuol dire che se quell'utente non è il root (l'amministratore), cosa succede? Che il sistema operativo, prima di interrompere l'operazione e restituire errore, controlla anche il gruppo di quella stessa directory e, se l'utente appartiene al gruppo, ed il gruppo ha permessi di lettura, scrittura ed esecuzione (R-W-X) su quella directory, allora l'accesso viene ugualmente consentito.

desperados ha scritto:quindi quando fa operazioni amministrative il sistema gli chiede la password dell'utente amministratore locale
ma io invece voglio che mi chieda o che possa inserire credenziali del dominio, o cmq di un utente diverso da quello che mi propone


Questo non succede se quell'utente è parte di quel gruppo che possiede quella directory.

L'utente dovrà prima di tutto autenticarsi sul suo host e viene ricvonosciuto dal sistema tramite la coppia di username e password, come utente riconosciuto ed appartenente al gruppo, in quanto membro di quel gruppo, se lo stesso gruppo ha permesso di accesso a quella directory, allora quell'utente potrà accedervi.
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1215
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » venerdì 3 agosto 2018, 9:49

@DoctorStrange
ciao, a me è tutto chiarissimo, ma forse non riesco a spiegarmi, provo a farlo passo-passo:

Tizio è l'utente utilizzatore del pc, è un utente standard e NON PUO' E NON DEVE avere permessi amministrativi
durante il suo normale utilizzo, succede che debba fare una cosa che richiede permessi amministrativi
succede che il sistema chiede la passord di localadmin, che è l'utente creato in fase di installazione del sistema e che è l'utente autorizzato a fare attività amministrative
ovviamente Tizio non conosce la password e NON DEVE conoscerla, e, ripeto, NON DEVE neppur poter fare tali attività, per cui chiama Caio, che è amministratore di sistema
ora, Caio deve inserire la password di localadmin, che ha una password complessa, salvata in un gestore password
per evitare perdite di tempo e complessità varie, vorrei che invece il sistema permettesse a Caio di usare non localadmin per completare l'attività, ma chiedesse quale utente usare
a quel punto Caio potrebbe usare il suo utente adminCaio, che è un utente amministratore nominativo (altro vantaggio rispetto ad usare localadmin), e di cui conosce ovviamente la password (che è sua, personale)
questo, al momento, non c'è modo di farlo

se anche, come proponi tu, mettessi le cartelle con permessi GruppoAmministratori, il sistema comunque non permette a Caio di usare il suo utente ma sempre e solo localadmin, per cui non risolverebbe la cosa
e, ovviamente, NON VOGLIO che Tizio sia in GruppoAmministratori e possa installare alcunché
spero che così ci capisca meglio la situazione
grazie mille
desperados
Prode Principiante
 
Messaggi: 125
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda giubbix » venerdì 3 agosto 2018, 12:16

È chiaro, ma non si capisce perché tu desideri collegarti in remoto ed inserire le credenziali a video. Questo è il metodo a la windows. In linux ci sono altri sistemi che non coinvolgono l'utente finale. Il motivo per cui fai così non lo hai mai condiviso...
giubbix
Prode Principiante
 
Messaggi: 89
Iscrizione: maggio 2014
Desktop: plasma
Distribuzione: Kubuntu 18.04 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggioda DoctorStrange » venerdì 3 agosto 2018, 13:09

desperados ha scritto:Tizio è l'utente utilizzatore del pc, è un utente standard e NON PUO' E NON DEVE avere permessi amministrativi
durante il suo normale utilizzo, succede che debba fare una cosa che richiede permessi amministrativi
succede che il sistema chiede la passord di localadmin, che è l'utente creato in fase di installazione del sistema e che è l'utente autorizzato a fare attività amministrative
ovviamente Tizio non conosce la password e NON DEVE conoscerla, e, ripeto, NON DEVE neppur poter fare tali attività,


Come tu stesso ammetti, Tizio si può trovare nella condizione di dover fare alcune operazioni che richiedono credenziali da amministratore, almeno su questo siamo d'accordo.

desperados ha scritto:per cui chiama Caio, che è amministratore di sistema
ora, Caio deve inserire la password di localadmin, che ha una password complessa, salvata in un gestore password
per evitare perdite di tempo e complessità varie, vorrei che invece il sistema permettesse a Caio di usare non localadmin per completare l'attività, ma chiedesse quale utente usare
a quel punto Caio potrebbe usare il suo utente adminCaio, che è un utente amministratore nominativo (altro vantaggio rispetto ad usare localadmin), e di cui conosce ovviamente la password (che è sua, personale)


Tu sei abituato a pensare in termini di Windows, ma qui la situazione è diversa. Per loggarti in un sistema con un altro username, devi interrompere la sessione corrente, uscire, e rientrare con un username diverso. Non credo sia possibile per uno stesso sistema avere simultaneamente loggati due utenti diversi.

Prova a vedere se riesci a connetterti da remoto, magari tramite SSH mentre su quel sistema è in corso una sessione precedentemente aperta, mi sembra comunque un metodo un pò barbaro, perchè è potenzialmente molto "error prone" nel caso i due utenti cercassero di accedere alle medesime risorse, ma fai un tentativo e vedi se riesci a loggarti da remoto su una macchina e ad installare su quest'ultima un'applicazione, con una sessione in corso, potrebbe funzionare.

desperados ha scritto:se anche, come proponi tu, mettessi le cartelle con permessi GruppoAmministratori, il sistema comunque non permette a Caio di usare il suo utente ma sempre e solo localadmin, per cui non risolverebbe la cosa


Se Caio lo aggiungi a quel gruppo, e dai alle directory di proprieta di quel gruppo tutti i permessi RWX, allora Caio lo potrà fare.

desperados ha scritto:e, ovviamente, NON VOGLIO che Tizio sia in GruppoAmministratori e possa installare alcunché
spero che così ci capisca meglio la situazione
grazie mille


Se Tizio non può installare nulla, allora è sempre e solo Caio, ovvero l'amministratore a poter installare un pacchetto? In quali casi Tizio, ovvero l'utente normale, tu vuoi che possa installare qualcosa?

Inoltre mi sorge un ulteriore dubbio sulla logica generale: tu hai detto che Tizio vuole installare la stampante, per farlo ha bisogno di chiamare Caio, che è l'amministratore, e quest'ultimo può autorizzare la procedura tramite credenziali di amministratore, giusto?

La domanda a questo punto è: in quale modo, il computer di Tizio può sapere che Caio è un amministratore anche della sessione Tizio?

Hai qualche sistema che gestisce gli accessi concorrenti? Qualcosa tipo LDAP, Samba-AccessControl, o simili?
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1215
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda giubbix » venerdì 3 agosto 2018, 17:55

Tu sei abituato a pensare in termini di Windows, ma qui la situazione è diversa. Per loggarti in un sistema con un altro username, devi interrompere la sessione corrente, uscire, e rientrare con un username diverso. Non credo sia possibile per uno stesso sistema avere simultaneamente loggati due utenti diversi.


ma quando mai, Linux è multiutente ancora prima che Windows nascesse... Sullo stesso terminale puoi aprire fino a 6 sessioni testuali (in verità anche più, ma normalmente è preconfigurato così) e fino a 6 sessioni grafiche (fa eccezione KDE che non gestice bene due sessioni contemporanee). Da remoto puoi aprire tutte le sessioni che vuoi, sia grafiche che testuali (in verità dipende dalla potenza di calcolo del computer ricevente).

Prova a vedere se riesci a connetterti da remoto, magari tramite SSH mentre su quel sistema è in corso una sessione precedentemente aperta, mi sembra comunque un metodo un pò barbaro, perchè è potenzialmente molto "error prone" nel caso i due utenti cercassero di accedere alle medesime risorse, ma fai un tentativo e vedi se riesci a loggarti da remoto su una macchina e ad installare su quest'ultima un'applicazione, con una sessione in corso, potrebbe funzionare.


invece è il metodo normale. Se due utenti vogliono accedere alle stesse risorse hai errori o meno a seconda della risorsa. Tipicamente per i file di testo si usa "vi" che avverte quando c'è un'altra sessione aperta (ma lo fa grazie ad un file,m non ad una chiamata di sistema), se uno ignora l'avvertimento o usa un software che non avverte allora l'ultimo che scrive è quello che vince (sovrascrivendo le parti modificate dall'altro utente, anche se non modificate da lui stesso). Se la risorsa può gestire due o più sessioni le gestirà con le sue regole.
giubbix
Prode Principiante
 
Messaggi: 89
Iscrizione: maggio 2014
Desktop: plasma
Distribuzione: Kubuntu 18.04 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » sabato 4 agosto 2018, 9:07

giubbix Immagine ha scritto:È chiaro, ma non si capisce perché tu desideri collegarti in remoto ed inserire le credenziali a video. Questo è il metodo a la windows. In linux ci sono altri sistemi che non coinvolgono l'utente finale. Il motivo per cui fai così non lo hai mai condiviso...


scusa ma... dov'è che ho scritto che voglio collegarmi in remoto ?!?!?


DoctorStrange ha scritto:
desperados ha scritto:per cui chiama Caio, che è amministratore di sistema
ora, Caio deve inserire la password di localadmin, che ha una password complessa, salvata in un gestore password
per evitare perdite di tempo e complessità varie, vorrei che invece il sistema permettesse a Caio di usare non localadmin per completare l'attività, ma chiedesse quale utente usare
a quel punto Caio potrebbe usare il suo utente adminCaio, che è un utente amministratore nominativo (altro vantaggio rispetto ad usare localadmin), e di cui conosce ovviamente la password (che è sua, personale)


Tu sei abituato a pensare in termini di Windows, ma qui la situazione è diversa. Per loggarti in un sistema con un altro username, devi interrompere la sessione corrente, uscire, e rientrare con un username diverso. Non credo sia possibile per uno stesso sistema avere simultaneamente loggati due utenti diversi.

Prova a vedere se riesci a connetterti da remoto, magari tramite SSH mentre su quel sistema è in corso una sessione precedentemente aperta, mi sembra comunque un metodo un pò barbaro, perchè è potenzialmente molto "error prone" nel caso i due utenti cercassero di accedere alle medesime risorse, ma fai un tentativo e vedi se riesci a loggarti da remoto su una macchina e ad installare su quest'ultima un'applicazione, con una sessione in corso, potrebbe funzionare.


è appunto quello che pensavo, alla fine devo accedere con l'altro utente, non posso eseguire nulla dentro una sessione altrui

DoctorStrange ha scritto:
desperados ha scritto:se anche, come proponi tu, mettessi le cartelle con permessi GruppoAmministratori, il sistema comunque non permette a Caio di usare il suo utente ma sempre e solo localadmin, per cui non risolverebbe la cosa


Se Caio lo aggiungi a quel gruppo, e dai alle directory di proprieta di quel gruppo tutti i permessi RWX, allora Caio lo potrà fare.


sì ma se tanto devo entrare con la sua sessione, a sto punto funziona già, non serve che cambio i permessi

DoctorStrange ha scritto:
desperados ha scritto:e, ovviamente, NON VOGLIO che Tizio sia in GruppoAmministratori e possa installare alcunché
spero che così ci capisca meglio la situazione
grazie mille


Se Tizio non può installare nulla, allora è sempre e solo Caio, ovvero l'amministratore a poter installare un pacchetto? In quali casi Tizio, ovvero l'utente normale, tu vuoi che possa installare qualcosa?

Inoltre mi sorge un ulteriore dubbio sulla logica generale: tu hai detto che Tizio vuole installare la stampante, per farlo ha bisogno di chiamare Caio, che è l'amministratore, e quest'ultimo può autorizzare la procedura tramite credenziali di amministratore, giusto?

La domanda a questo punto è: in quale modo, il computer di Tizio può sapere che Caio è un amministratore anche della sessione Tizio?

Hai qualche sistema che gestisce gli accessi concorrenti? Qualcosa tipo LDAP, Samba-AccessControl, o simili?


NO, non voglio che l'utente installi, voglio che chiami l'amministratore
e SI, la macchina è in dominio quindi sa' che Caio è amministratore

QUINDI , CONCLUDENDO

alla fine della fiera, non c'è soluzione come voglio io, ma le 3 alternative che mi vengono in mente sono:
1. Caio apre un terminale nella sessione di Tizio, esegue "su Caio", e poi fa' quello che deve fare
2. Tizio chiama Caio, il quale arriva, esce dalla sessione di Tizio, accede al sistema col suo utente, fa' quello che deve fare, termina la sessione e poi Tizio riapre la sua
3. se è un'operazione che si può fare da console, Caio si collega in ssh e fa' quello che deve fare da remoto
desperados
Prode Principiante
 
Messaggi: 125
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Re: chiedere username per eseguire operazioni amministrative

Messaggioda giubbix » sabato 4 agosto 2018, 12:06

desperados ha scritto:scusa ma... dov'è che ho scritto che voglio collegarmi in remoto ?!?!?

in verità tu non hai spiegato nulla benchè io te lo abbia chiesto più di una volta. Come ti dicevo, pure io devo implementare una soluzione con AD e ti chiedevo un confronto, cosa che non è avvenuta... benchè questa sia una comunità...


desperados ha scritto:1. Caio apre un terminale nella sessione di Tizio, esegue "su Caio", e poi fa' quello che deve fare

Corretto

desperados ha scritto:2. Tizio chiama Caio, il quale arriva, esce dalla sessione di Tizio, accede al sistema col suo utente, fa' quello che deve fare, termina la sessione e poi Tizio riapre la sua

A parte che lo si può fare da remoto senza bisogno di alzarsi dalla scrivania, ma comunque una volta arrivato alla postazione può usare una qualsiasi delle 5 console grafiche senza bisogno di sloggare l'utente (e i programmi).

desperados ha scritto:se è un'operazione che si può fare da console, Caio si collega in ssh e fa' quello che deve fare da remoto

Tutto puoi fare da console, anche sessioni grafiche, ti ricordo che Xorg è un server. Quindi anche aprire un programma grafico lo si può fare da ssh
giubbix
Prode Principiante
 
Messaggi: 89
Iscrizione: maggio 2014
Desktop: plasma
Distribuzione: Kubuntu 18.04 x86_64

Re: chiedere username per eseguire operazioni amministrative

Messaggioda desperados » sabato 4 agosto 2018, 12:40

giubbix Immagine ha scritto:
desperados ha scritto:scusa ma... dov'è che ho scritto che voglio collegarmi in remoto ?!?!?

in verità tu non hai spiegato nulla benchè io te lo abbia chiesto più di una volta. Come ti dicevo, pure io devo implementare una soluzione con AD e ti chiedevo un confronto, cosa che non è avvenuta... benchè questa sia una comunità...


bho non capisco veramente, mi avete fatto delle domande mi sembra di avervi sempre risposto... in questo thread non riesco proprio a spiegarmi, mi spiace
desperados
Prode Principiante
 
Messaggi: 125
Iscrizione: febbraio 2010
Località: PD
Sesso: Maschile

Precedente

Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 2 ospiti