在 FreeIPA 中自动创建主目录时权限不正确

Question

我已经为我的系统配置了一个 IPA 域，并且还启用了当用户使用 --enablemkhomedir 选项登录时自动创建主目录。我遇到的问题是每当用户登录时，都会为其创建一个具有 755 权限的主目录。但我希望权限为 700。我该如何解决？我将不胜感激任何建议。

Answer 1

假设是 RHEL 或类似 CentOS 的系统，这是 漏洞, ，详细见： 红帽995097.

我采取的修复方法是使用 oddjobd 进程来创建目录，而不是旧的 pam_mkhomedir.

所以如果你还没有的话 yum install oddjob-mkhomedir.

从那里，您可以编辑蒙版 /etc/oddjobd.conf.d/oddjobd-mkhomedir.conf

修改两个条目：

    <method name="mkmyhomedir">
      <helper exec="/usr/libexec/oddjob/mkhomedir -u 0002"
              arguments="0"
              prepend_user_name="yes"/>
      <!-- no acl entries -> not allowed for anyone -->
    </method>

    <method name="mkhomedirfor">
      <helper exec="/usr/libexec/oddjob/mkhomedir -u 0002"

到：

    <method name="mkmyhomedir">
      <helper exec="/usr/libexec/oddjob/mkhomedir -u 0077"
              arguments="0"
              prepend_user_name="yes"/>
      <!-- no acl entries -> not allowed for anyone -->
    </method>

    <method name="mkhomedirfor">
      <helper exec="/usr/libexec/oddjob/mkhomedir -u 0077"

重新开始 oddjobd 并确保它已启用 chkconfig。

您可能还需要重新启动 sssd.

另请参阅： http://tech.lanesnotes.com/2010/11/ad-authentication-with-rhel-6.html