主页 / ubuntu / 问题 / 1498943
Accepted
Alejandro Arévalo
Asked: 2024-01-04 15:45:02 +0800 CST

为什么 SSSD 服务 override_homedir 会触发创建具有错误权限的主目录?

  • 772

我在 Ubuntu Jammy 服务器中安装了一个供应商应用程序,该应用程序依赖于配置为 LDAP 集成的 SSSD v2.6.3,以在服务器中验证和创建用户的主目录。

在 sssd.conf 配置中存在:

[sssd]
config_file_version=2
reconnection_retries=3
services=nss,pam
domains=mydomain.com

[nss]
...

[pam]
...

[domain/mydomain.com]
... ldap configuration ...
override_homedir=/sfs/home/%u

当用户通过身份验证时,创建的主目录具有以下权限集:

$ ls -lhtar /sfs/home
drwxr-xr-x 3 myuser mygroup 4.0K Jan  3 19:23 myuser

不幸的是,这些权限drwxr-xr-x还允许其他人在其主目录中导航。

一开始我以为这是由 PAM 模块控制的,特别是common-session执行pam_mkhomedir.so模块,但事实并非如此!,因为注释此模块没有任何效果,并且主目录始终完全为空,不遵循通常在 mkhomedir 例如中提供的主“骨架” session required pam_mkhomedir.so skel=/etc/skel/

我还注意到权限drwxr-xr-x对应于 umask 022,这通常是 Linux 发行版中的默认值,因此我修改为 006 /etc/login.defs,并添加了 umask 006/etc/profile以避免使用 022 umask,但是此尝试已也是徒劳的。

有人遇到过这个问题吗?当 SSSD 服务触发主目录创建时,如何强制使用正确的 umask?

提前非常感谢!

pam

2 个回答

  1. 一般来说,pam_mkhomedir.so在这种情况下会创建主目录,所以我仍然怀疑这是原因。默认pam_mkhomedir.so设置会创建您报告的权限。来自pam_mkhomedir 联机帮助页

    umask=mask
    The file mode creation mask is set to mask. The default value of mask is 0022. If this
    option is not specified, then the permissions of created user home directory is set to
    the value of HOME_MODE configuration item from /etc/login.defs. If there is no such
    configuration item then the value is computed from the value of UMASK in the same
    file. If there is no such configuration option either the default value of 0755 is
    used for the mode.

    我已配置pam_mkhomedir.so为在命令中使用不同的 umask。

    sed -i -e "s/pam_mkhomedir.so$/pam_mkhomedir.so umask=0027/" /usr/share/pam-configs/mkhomedir
pam-auth-update --enable mkhomedir

    还有一个提交给 Ubuntu 的 bug,用于将默认参数更改为pam_mkhomedir.so. 这是专门向 Ubuntu 提交的,因为 Ubuntu 为其“私人主目录”计划修补了其他工具。

    链接

    • 1
  2. Best Answer

    在这种情况下,问题实际上在于执行身份验证的供应商应用程序没有触发会话的 PAM 模块,对此供应商应用程序的配置进行修改允许身份验证过程调用我们为创建主目录而设置的 PAM 会话配置。

    • 0

相关问题