#1 Le 15/05/2008, à 10:17
- sp00n
Intégration AD (Win Server 2008) Soucis de sécurité
Bonjour,
je suis en stage et mon projet consiste à intégrer un Ubuntu 8.04 dans un environnement Microsoft Active Directory sous Windows Server 2008.
J'ai réussi à me débrouiller concernant l'intégration avec samba, ldap, nss et pam. Mais j'ai un soucis de sécurité.
Je vous explique :
J'utilise pam pour me connecter à mon compte AD.
Tour fonctionne, seulement si je me connecte en tant que root, on ne me demande plus de password pour m'authentifier en tant qu'Administrator (compte de l'AD).
Exemple :
root@ubuntu-iat3:/home/sp00n# su Administrator
$ (je suis ici connecté)
Par contre en tant que membre de l'AD, ou que non root, la demande de pass se fait correctement :
sp00n@ubuntu-iat3:~$ su Administrator
Password:
$ su toto
Password:
J'aimerais donc que malgré le root, on me demande mon mot de passe lors d'un changement d'utilisateur.
J'espère avoir été clair et j'attends vos réponses avec impatience, je suis réellement perdu... 
Merci beaucoup.
#2 Le 15/05/2008, à 10:48
- wblitz
Re : Intégration AD (Win Server 2008) Soucis de sécurité
je crois que ce n'est pas possible. il faudrait vérifier dans le source, mais su se base sur l'uid de l'utilisateur appelant la commande. et quand c'est root (uid=0), le mot de passe n'est pas vérifié.
"Un optimiste, c'est un homme qui plante deux glands et qui s'achète un hamac" - Jean de Lattre de Tassigny
Pensez à mettre [RÉSOLU] dans le sujet de vos posts une fois qu'ils le sont...
quelques docs
Hors ligne
#3 Le 15/05/2008, à 12:01
- sp00n
Re : Intégration AD (Win Server 2008) Soucis de sécurité
Merci, mais à ce moment là, n'importe quelle machine en se connectant sous root sera capable d'accéder à n'importe quel compte AD en passant par root et connaissant le nom du compte AD...
Ne connaissez-vous pas un moyen de contrer celà?
#4 Le 15/05/2008, à 12:20
- NicoA380
Re : Intégration AD (Win Server 2008) Soucis de sécurité
J'ai pas le temps de tout lire, mais as-tu entendu parler d' open-likewise disponible depuis hardy dans les dépôts.
Je l'ai utilisé dans mon entreprise et ça marche bien.
Hors ligne
#5 Le 15/05/2008, à 12:49
- sp00n
Re : Intégration AD (Win Server 2008) Soucis de sécurité
Oui mais mon entreprise ne veut pas utiliser ce genre de chose 
De toute façon l'intégration est déjà faite le problème vient après
Merci quand meme!
#6 Le 15/05/2008, à 13:11
- wblitz
Re : Intégration AD (Win Server 2008) Soucis de sécurité
restreint les accès au compte "root" sur les machines en question à ce moment là. parce que sinon, root peut devenir n'importe quel utilisateur valide du système (donc en autre les utilisateurs déclarés dans l'AD dans ton cas)
edit : bien vu sp00n 
je me note ça dans un coin 
Dernière modification par wblitz (Le 15/05/2008, à 13:57)
"Un optimiste, c'est un homme qui plante deux glands et qui s'achète un hamac" - Jean de Lattre de Tassigny
Pensez à mettre [RÉSOLU] dans le sujet de vos posts une fois qu'ils le sont...
quelques docs
Hors ligne
#7 Le 15/05/2008, à 13:42
- sp00n
Re : Intégration AD (Win Server 2008) Soucis de sécurité
Résolu :
Dans le fichier /etc/pam.d/su, commentez la ligne
auth sufficient pam_rootok.so
qui annule la demande du pass quand on est root.
Merci beaucoup pour votre aide!
#8 Le 07/07/2008, à 18:03
- kaman
Re : Intégration AD (Win Server 2008) Soucis de sécurité
Résolu :
Dans le fichier /etc/pam.d/su, commentez la ligne
auth sufficient pam_rootok.so
qui annule la demande du pass quand on est root.
Merci beaucoup pour votre aide!
Mais alors que faire si root décommente le fichier /etc/pam.d/su?
Ou mieux encore, si il fait passer sa la machine pour ta machine sous nunux?