Quest Monger's questions

在 CentOS 6.5 中，我会执行以下操作来为用户设置 sudo -

1. useradd -G wheel -c“约翰史密斯”jsmith
2. 视觉
3. 取消注释这一行 - %wheel ALL=(ALL) ALL
4. usermod -G 轮子 -a jsmith
5. 重启 sshd - /etc/init.d/sshd 重启
6. ssh 以 jsmith 身份登录并输入“sudo bash”

当我在 CentOS 7 中尝试相同的事情时，我在 /var/log/secure 中看到以下内容 -

Oct  8 05:20:00 localhost sudo: jsmith : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/jsmith ; USER=root ; COMMAND=/bin/bash

这个程序对 CentOS-7 不再有效了吗？

更多信息 -

文件 /etc/group 有这个 -

wheel:x:10:randomperson,cartman,jsmith

visudo 显示了这一点-

## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL

## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
wheel   ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

sudo -l 命令的输出 -

[jsmith@localhost ~]$ sudo -l
[sudo] password for jsmith:
Sorry, user jsmith may not run sudo on localhost.
[jsmith@localhost ~]$

我在 CentOS 上运行 389-DS。版本 - '389-ds-base.i686 1.2.11.15-34.el6_5'。安全扫描显示在端口 389 和 636 上发现了 NullCiphers。

我试图通过关闭 DS、编辑所有“/etc/dirsrv/slapd-/dse.ldif”文件上的“nsSSL3Ciphers”并启动 DS 来禁用它们。nsSSL3Ciphers 现在看起来像这样 -

modifyTimestamp: 20140915221826Z
nsSSL3Ciphers: -rsa_null_md5,+rsa_rc4_128_md5,+rsa_rc4_40_md5,+rsa_rc2_40_md5,
 +rsa_des_sha,+rsa_fips_des_sha,+rsa_3des_sha,+rsa_fips_3des_sha,+fortezza,+fo
 rtezza_rc4_128_sha,-fortezza_null,+tls_rsa_export1024_with_rc4_56_sha,+tls_rs
 a_export1024_with_des_cbc_sha
numSubordinates: 1

扫描仍然在这 2 个端口上显示空密码。

Here is the list of null SSL ciphers supported by the remote server :
  Null Ciphers (no encryption)
    TLSv1
      NULL-SHA                     Kx=RSA         Au=RSA      Enc=None                 Mac=SHA1   
The fields above are :
  {OpenSSL ciphername}
Port
389 / tcp / ldap    
636 / tcp / ldap    

关于如何禁用这些 Null 密码的任何想法？

我在 Solaris 11 上执行此操作。当我打开“/etc/nsswitch.conf”时，我看到了这个 -

...
sudoers:  files
...

我想将其更改为 -

...
sudoers:  files ldap
...

我尝试直接编辑文件，但是当我重新启动主机时，更改会丢失。我尝试使用 svcfg，但这没有用 -

root@solaristhost:/# svccfg
svc:> select name-service/switch
svc:/system/name-service/switch> setprop config/sudoers = "files ldap"
Type required for new properties.
svc:/system/name-service/switch> exit

有没有办法使用 svccfg 命令或其他命令永久设置 nsswitch 中的 'sudoers' 值？

我按照标准文档分别在主机“SRV”和“CLT”上安装 FreeIPA 服务器和客户端。然后，我使用 Web UI 将用户“X”添加到 FreeIPA。现在，当我尝试将 X 作为 X SSH 到 CLT 时，出现'Permission denied, please try again.'错误。我在客户端上检查了“/var/log/messages”，并看到了这个 - '[sssd[krb5_child[3277]]]: Decrypt integrity check failed'。

我多次重置密码，但这并没有解决问题。然后我遇到了这些-

• http://www.cmf.nrl.navy.mil/krb/kerberos-faq.html#badpass
• https://groups.google.com/forum/#!topic/comp.protocols.kerberos/g-s76WeWyUU

听起来像是从 SRV 和 CLT 中删除“/etc/krb5.keytab”文件然后重新创建它们将解决问题。

1. 我应该如何进行此密钥表重置？
2. 我应该先从 FreeIPA 库存中取消配置/删除 CLT 吗？

我们有一个由 60 多台主机（solaris 和 linux）组成的设置。我们想开发/安装一个工具来帮助我们进行密码重置、帐户创建/删除和其他常见的用户帐户管理任务。

我们已经将 webmin、puppet 和 AD 集成视为潜在的解决方案。但要么它们太昂贵，有太多漏洞（漏洞），要么我们的架构不允许这样的部署。所以我们还在寻找。

我们的要求是 - 1. 免费且最好是 oss。2. 不需要网页界面。可以是一个简单的库/api，我们可以用它来编写用户管理工具的脚本。3. 适用于 linux 和 solaris 主机。