问题[su](ubuntu)

我有一个带有 IDMU 并UID/GID为我的域用户指定的 AD 环境。UID/GIDSSSD 连接的域用户在 Ubuntu 上与 AD共享不同的内容。

sssd.conf这是Ubuntu 20.10 中未编辑的默认设置：

% sssd --version
2.3.1

# cat /etc/sssd/sssd.conf 

[sssd]
domains = webtool.space
config_file_version = 2

[domain/webtool.space]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = MYDOMAIN.SPACE
realmd_tags = manages-system joined-with-adcli 
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = mydomain.space
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad

如果用户名Auser有 aUID和10001a我希望这些数字会在其他平台上持续存在，对吗GID？10001

但 SSSD 似乎分配任意UID/GID与 AD 编号没有对应关系。这是一个真实的例子：

% su auser@mydomain.space                                        
Password: 
auser@mydomain.space@myhostname:~/$ id

uid=397401108(auser@mydomain.space)
gid=397400512(domain admins@mydomain.space)
groups=397400512(domain admins@mydomain.space),
397400513(domain users@mydomain.space),
397400518(schema admins@mydomain.space),
397400519(enterprise admins@mydomain.space),
397400572(denied rodc password replication group@mydomain.space),
397401109(sudoers@mydomain.space),
397401112(vcsa administrators@mydomain.space),
397404603(libvirt@mydomain.space),
397407607(jumpcloud@mydomain.space)

有什么办法可以防止这种行为？我希望我UID/GID与域控制器上分配的值相对应。

更新：

感谢出色的第一个答案，制作映射 1-1 所需的只是停止 SSSD 服务，删除缓存，ldap_id_mapping从更改True为False.

现在UID/GID与 AD 相同：

% id
uid=10000(auser) gid=10001(administrators) groups=10001(administrators),3109(sudoers@mydomain.space),10000(domain users@mydomain.space)

现在要弄清楚为什么我错过了我的用户所属的一些组......

我在 WSL2 环境中添加了一个用户 (user2)，然后想将该用户 2 的主目录更改为不同的目录。但一定有什么不对劲。

$ usermod -d /var/lib/app1 user2
usermod: no changes

$ vim /etc/passwd
user2:x:1001:1001::/var/lib/app1:/bin/sh

$ sudo su user2

不是/var/lib/app1但是/home/abc。

我在这里想念什么？

我正在阅读一些关于 Linux 配置的教程：

• 完成许多配置是重要且强制性的root。

好吧，我确实意识到在很多地方都使用了sudo suand sudo -i，即使两者都实现了相同的目标，我也怀疑：

• 何时强制使用一种方法而不是另一种方法？

我在做这个问题是因为出于某种原因存在这两种方法

当我输入sudo时，该命令似乎没有做任何有用的事情。我预计会被要求输入密码或获取 root shell，但我只得到了这个：

$ sudo
usage: sudo -h | -K | -k | -V
usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user]
usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user]
            [command]
usage: sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p
            prompt] [-T timeout] [-u user] [VAR=value] [-i|-s] [<command>]
usage: sudo -e [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p
            prompt] [-T timeout] [-u user] file ...

su似乎可以正常启动，但不接受我的密码。我无法以超级用户身份登录。

我的安装有问题，还是我做错了什么？

如何提升root权限bash？然后如何返回到之前的状态？我的问题是关于提升/降低权限以及某些应用程序可能出现的问题，尤其是 GUI 应用程序（和“环境”）。

比如说，一些应用程序为每个用户和根用户保留一个单独的配置文件。如果我以 root 身份运行应用程序，则 GUI 和配置文件可能不是“环境”的唯一问题，无论这是他们或操作系统的错误还是功能。

说，我需要以 root 身份运行脚本或已经以 root 身份运行脚本（如在 rc.local 中），因此您可能需要降低权限或从那里“完全”切换回普通用户（su normaluser并不总是有效）。最初运行一个脚本，sudo -H然后切换到另一个用户？这并不总是按需要工作，尤其是对于 GUI 应用程序。我认为问题出在“环境”上，并且DISPLAY=:0 ...or DISPLAY=:0 gtk-launch ...(gtk-launch可能是错误的) 可能还没有帮助。

说，我有gedit一个打开的文件。如果我以普通用户身份运行gedit /doc2，它会打开菜单并显示在另一个选项卡中的现有窗口中。如果我以 root 身份运行它，它会在一个单独的窗口中打开，并且没有可见的菜单。sudo -H如果我通过or运行脚本su并尝试以gedit /doc2普通用户身份运行（再次使用 sudo (-H) 或 su），那么它就像我以 root 身份而不是普通用户一样运行。我也试过sudooptions -l, -s, -i。与其他导致更严重问题的 GUI 应用程序一起使用。一些 GUI 应用程序具有不同的 GUI 或因此根本不运行。有时runuser对我有帮助，但并非总是如此。并且 heredoc 格式 ( sudo -H /bin/bash <<EOF <lines with commands> EOF) 无法按预期工作。

这是多少麻烦。一年多来，我找不到一个好的通用解决方案。那么有什么可以提升特权并返回的吗？还是其他好的解决方法？

还有一个完整的例子以防万一（运行为sudo ./script.sh或使用-H）：

cd /somedir
some_commands # using the current directory, root privileges and setting some variables, and writing to somefile (better as normal user)
sudo -u normaluser /bin/bash -c 'gedit --encoding someencoding /somefile'`

如果我运行以下 bash 脚本./script.sh

gedit --encoding someencoding /somefile

然后gedit正常工作。

以防万一：它是关于 Ubunu 16.04 xenial，bash 版本 4.3.48。

更新：

我知道我可以运行类似的命令

sudo sh -c ‘command1 $somevariable; command2’

或（我发现它可以是几行）

sudo sh -c ‘command1 $somevariable command2’

或者可能与bash. 对于大量命令来说，这可能不是一个选项，也不能解决所有问题。而且我绝对不需要交互式输入命令。另见我的回答。

PS我认为Linux应该用户友好且易于使用。

我尝试以nvm与 bash 脚本不同的用户身份运行。它已经安装并且NVM_DIR环境变量设置在/home/user/.bashrc：

export NVM_DIR="$HOME/.nvm"
[ -s "$NVM_DIR/nvm.sh" ] && \. "$NVM_DIR/nvm.sh"
[ -s "$NVM_DIR/bash_completion" ] && \. "$NVM_DIR/bash_completion"

使用普通su作品：

root@ubuntu:~# su user
user@:/root$ echo $NVM_DIR
/home/user/.nvm

尝试同样的事情su -c是行不通的：

root@ubuntu:~# su user -c 'echo $NVM_DIR'

root@ubuntu:~#

如何使用环境变量su -c？

gpg: problem with the agent: Permission denied当我在切换用户后调用GPG 时失败su：

su - user2
gpg --symmetric --passphrase=foo foo.txt

如果我从自己的用户调用命令，它不会失败。有解决方法吗？

我在他们的邮件列表中找到了一个线程，但没有得到答复。它推测错误是因为：

tty 归我通过 SSH 登录的原始用户所有，而不是我通过 su 切换到的用户

当我尝试使用 Ubuntu 的登录屏幕登录我的管理帐户时，我不能。但是，我可以访问其他帐户并登录它们。此外，我可以su在终端的标准帐户之一中使用命令登录我的帐户。

例如，我已经登录到某人的帐户，我正在从那里提问。现在，我可以打开终端，运行su machitgarha，输入正确的密码并登录到我的帐户。但是，使用该真实密码，就没有机会使用登录屏幕登录我的帐户。

有人可以帮我吗？有任何想法吗？

谢谢！

刚刚更新到 18.04.1 我只使用终端。当我对一个运行游戏的用户执行 su 时，我只得到一个 $ 并且没有用户名，并且不显示当前位置。此外，选项卡自动完成功能也不适用于这些用户。如果我手动输入所有内容，我仍然可以正常导航。选项卡自动完成适用于我的普通用户和 root。

所以我似乎在我的 Ubuntu 桌面系统上搞砸了一些权限。我想让一个新创建的用户只授予对一个文件夹的访问权限（在终端中只运行该文件夹中的一个应用程序）。

我被这个威胁绊倒了，不顾一切地做了一个setfacl -R -m user:$NEWUSER:--- /因为我认为用户不需要来自 amywhere 的任何程序。我没有意识到/bin/bash至少是需要的。

现在我尝试删除该用户并重新创建，但这没有帮助。即使使用另一个用户名，它也不会让我su进入该用户，因为它不允许 user /bin/bash。

如何再次修复这些权限？我只需要让该用户使用终端并上下运行脚本...>_<

我希望能在这里找到帮助。谢谢你。