假设我有一个mydomain使用 MS Active Directory的公司域。在域中,我有用户myuser和youruser. 现在,在一台特定的 Ubuntu 机器上mymachine, myuser 具有 sudo 权限,并且执行sudo su youruser(或sudo -u youruser sh)。由于 myuser 具有必要的 sudoers 配置,因此他不需要输入您用户的密码,并且将有效地成为该机器上的您的用户。
此时会有什么样的youruser特权myuser?显然,如果机器上youruser也有一个主目录,myuser现在可以访问它并读取他的私有本地文件。但是如果尝试使用 kerberos、samba 等访问网络域资源会发生什么?我猜因为他从来没有输入过youruser密码,所以他没有作为域用户进行身份验证,没有 kerberos 票等。所以如果有一个网络服务来检查他的用户 ID 的组成员身份,那也会失败吗?这是如何运作的?他是否被视为不同的用户,例如,mymachine\\youruser与mydomain\\youruser?
假设有一个 web 服务作为机器上的守护程序运行,使用专用域用户myserviceuser。如果此 Web 服务需要访问网络资源,即使用 Kerberos 进行身份验证,那么应该如何设置守护程序,例如从新贵脚本中设置?通常您使用类似的东西启动它sudo -u myserviceuser <cmd>,但鉴于上述假设,这是否会授予 Web 服务访问网络资源的任何权限?该用户的密码不应该在某处输入吗?
我有一个安全组 SG-SomeResource 提供对网络资源的访问。我还有一个通讯组 DG-MyOrg,它描述了一个组织单位。
我是否可以将 DG-MyOrg 包含为 SG-SomeResource 的成员,从而向 DG-MyOrg 的所有成员授予对资源的访问权限,或者我是否必须将 DG-MyOrg 的每个单独成员添加到 SG-SomeResource 中?
就像这样:
DG-我的组织
SG-SomeResource
Anne、Joe 和 Sarah 现在能够访问该资源,还是只有 Bob 能够访问该资源?
有趣的是,我找不到任何关于其工作原理的明确文档。我知道,当进入 Joe 的个人资料检查他的组成员身份时,不会显示 SG-SomeResource,因为它是嵌套组关系,但我不确定这是否也必然意味着他不会被授予对该资源的访问权限,或者SG 成员资格查找是否是递归的?