Jakiś czas temu kolega z nowej pracy zabił mi ćwieka, poprosił mnie o możliwość logowania się do maszyny z zainstalowanym debianem za pomocą konta domenowego. Nigdy wcześniej nie przyszło mi to do głowy, bo zawsze pracowałem na VM z Linux zakładając konta użytkowników ręcznie, nadając im odpowiednie uprawnienia. Zacząłem zgłębiać temat i wpadł mi przez przypadek artykuł pt. Join Ubuntu 20.04|18.04 / Debian 10 To Active Directory (AD) domain.
Krótki setup i wszystko zadziałało jak należy. Poprosiłem o dodanie maszyny do domeny AD. Od tego momentu każdy uprawniony (należący do odpowiedniej grupy) użytkownik może zalogować się do VM, gdzie przy pierwszym logowaniu zostanie mu założony katalog domowy w folderze /home/user@domainname.org. W artykule jest również przedstawiona konfiguracja sudo w celu nadania praw root określonym osobom. Ja od jakiegoś czasu to jest od pojawienia się pewnej podatności sudo zacząłem używać do “podbijania” uprawnień doas.
Niestety wersja debian 10 (stable) nie ma tego pakietu w repozytorium. Jest za to gotowa paczka dla wesji bullseye (testing), albo jak ktoś woli do zbudowania z kodu źródłowego. Konfiguracja doas jest dość prosta, w łatwy sposób można nadać uprawnienia odpowiedniej grupie z AD np:
permit :group_name@domainname.org as root
permit nopass user1 as root #prawa root dla użytkownika user1 bez pytania o hasło
Tak więc, jak ktoś chce użyć doas zmiast sudo to też się da.
Aha, jeszcze jedna mała sugestia. Jak już podepniemy naszą maszynę do domeny, to wypadałoby ustawić uprawnienia. Ja zrobiłem to w następujący sposób:
realm deny --all #wyłączenie dostępu wszystkim
realm permit -g group_name #włączenie dostępu członkom grupy group_name