在 FreeIPA 中自动创建主目录时权限不正确
-
21-12-2019 - |
题
我已经为我的系统配置了一个 IPA 域,并且还启用了当用户使用 --enablemkhomedir 选项登录时自动创建主目录。我遇到的问题是每当用户登录时,都会为其创建一个具有 755 权限的主目录。但我希望权限为 700。我该如何解决?我将不胜感激任何建议。
解决方案
假设是 RHEL 或类似 CentOS 的系统,这是 漏洞, ,详细见: 红帽995097.
我采取的修复方法是使用 oddjobd 进程来创建目录,而不是旧的 pam_mkhomedir
.
所以如果你还没有的话 yum install oddjob-mkhomedir
.
从那里,您可以编辑蒙版 /etc/oddjobd.conf.d/oddjobd-mkhomedir.conf
修改两个条目:
<method name="mkmyhomedir">
<helper exec="/usr/libexec/oddjob/mkhomedir -u 0002"
arguments="0"
prepend_user_name="yes"/>
<!-- no acl entries -> not allowed for anyone -->
</method>
<method name="mkhomedirfor">
<helper exec="/usr/libexec/oddjob/mkhomedir -u 0002"
到:
<method name="mkmyhomedir">
<helper exec="/usr/libexec/oddjob/mkhomedir -u 0077"
arguments="0"
prepend_user_name="yes"/>
<!-- no acl entries -> not allowed for anyone -->
</method>
<method name="mkhomedirfor">
<helper exec="/usr/libexec/oddjob/mkhomedir -u 0077"
重新开始 oddjobd
并确保它已启用 chkconfig。
您可能还需要重新启动 sssd
.
另请参阅: http://tech.lanesnotes.com/2010/11/ad-authentication-with-rhel-6.html
不隶属于 StackOverflow