Права локального администратора

[Костюков Владимир]

Для добавления прав локального администратора требуется выполнить команду:

sudo ipa group-add --gid=1001 astra-admin

и добавить в нее администраторов.
Не забываем прописывать админам 63 мкц
ipa user-mod <имя_пользователя> --miclevel=63

 

[Сергей Сердюков]

вопрос - выполнить эту команду где? на контроллере домена?
группу - требуется предварительно создать в АЛД Про?
Эта команда даст локальные права админа на контроллере домена?

А как насчет назначения прав локального админа на машинах-членах домена, путем прописывания им определенной доменной группы, членство в которой дает эти права?

 

[Костюков Владимир]

Сергей Сердюков, 1. Можно на любой машине под sudo выполнить.
2.Команда как раз сама создает группу.
3. Дает доступ к sudo и соответственно ко всем командам

А как насчет назначения прав локального админа на машинах-членах домена, путем прописывания им определенной доменной группы, членство в которой дает эти права?

Не совсем понял. В локальные группы прописать группы алд про ?

 

[Сергей Сердюков]

Сущность, которая создается (группа astra-admin с gid=1001) она ведь создается как объект в IPA/ALD, так ведь? Т.е. эта группа - доменная.
Далее мы эту группу созданную в ALD Pro, там же, через админ. интерфейс наполняем доменным же юзерами (например domain_user1, domain_user2, domain_user3 и т.д.)
А далее, "волшебство" за счет чего происходит? Клиент ALD Pro на локальной машине синканет эту доменную группу astra-admin в свою локальную такую же группу astra-admin ? Так?
И таким образом, доменные учетки domain_user1, domain_user2, domain_user3 попадут в локальну группу админов astra-admin? Верно?

 

[Сергей Сердюков]

Пытаюсь разобраться в механизме, как это работает и почему такой способ не описан в документации РусБиТеха...

 

[Сергей Сердюков]

И еще вопрос: вот это действие "Не забываем прописывать админам 63 мкц sudo pdpl-user -i 63 user" - его необходимо проделать над каждой ДОМЕННОЙ учеткой тех пользователей, которых мы планируем помещать в доменную же группу astra-admin? Действие это выполняем так же на машине - члене домена, авторизовавшись с правами админа домена?

 

[Костюков Владимир]

Сергей Сердюков, Указал корректную команду. Выполняется 1 раз. ipa user-mod <имя_пользователя> --miclevel=63

 

[Atmel]

А разве локальная группа astra-admin не создается при установке ОС Астра, причем заведенный при установке пользователь в нее попадает автоматом?

 

[it49]

Доброго ...
При выполнении команды sudo ipa group-add --gid=1001 astra-admin
получаю такую ошибку ipa: ERROR: не получены учетные данные Kerberos
пробовал и на рабочей станции и на сервере, ....

 

[Костюков Владимир]

@it49,тут все просто kinit admin и только после этого повторить команду

 

[it49]

Доброго еще раз, спасибо после ввода этой команды получилось выполнить две остальные, однако
На первый взгляд все сработало, т.е. теперь при входе этого пользователя предлагается выбрать уровень
целостности, меняется фон на красный но при попытке sudo -i запрашивает пароль и далее
так же получаю сообщение о запрете запуска .... sudo

 

[Shallow]

Доброго еще раз, спасибо после ввода этой команды получилось выполнить две остальные, однако
На первый взгляд все сработало, т.е. теперь при входе этого пользователя предлагается выбрать уровень
целостности, меняется фон на красный но при попытке sudo -i запрашивает пароль и далее
так же получаю сообщение о запрете запуска .... sudo

здравствуйте, попробуйте настройках безопасности-политика консоли и интерпритаторов-убрать ввод пароля для sudo и блокировку консоли выключить если включена

 

[it49]

Доброго. Для локального пользователя эти параметры и так были отключены, а у этого пользователя домена нет доступа к пункту ПОЛИТИКА БЕЗОПАСНОСТИ и вообще у него в безопасности только пункт СИСТЕМНЫЙ КИОСК....