我只是在我的用户帐户Cosmic Ossifrage的主目录中试验.k5login文件.在文件中,我列出了:
cosmic_ossifrage@REALM.COM
这是一个有效的Kerberos标识. SSH登录,因为此用户继续正确使用.k5login文件.
但是,使用我的主目录中的.k5login文件,我无法再使用sudo -i获得超级用户权限.这似乎没有任何意义,因为.k5login在我的主目录中,而不是root目录,所以在我看来,root用户和sudo命令都不应该被限制在sudoers文件中. .
但是,使用上面的.k5login文件,sudo -i和sudo su都没有工作,而他们以前也没有.删除.k5login文件后,此功能已恢复,我可以再次sudo.
在日志文件/var/log/auth.log中,此时报告的许多错误消息中有一个来自sudo,说明:
[pam:sudo] krb5_kuserok failed for user cosmic_ossifrage
我是否错过了.k5login应该做什么的基本定义?这是预期的行为,如果是,为什么?
解决方法
The .k5login file must contain one principal per line,be owned by user,and not be writable by group or other (but must be readable by anyone).
根据Kerberos source code中的注释.
在这种情况下,除了Cosmic Ossifrage用户之外,任何人都无法读取.k5login文件.存储用户主目录的NFS安装也强制执行root压缩,甚至禁止root用户访问.通过使文件具有全局可读性,返回了sudo to root功能.
(标记社区维基,因为答案最初来自评论.)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。