Restringir acesso via grupo a um servidor linux incluso no AD

thomasddiego
(usa Debian)

Enviado em 24/01/2023 - 16:32h

Boa tarde pessoal,

Tenho um servidor Windows Server 2019, que é o AD da rede, nele tenho um grupo ADMIN_SRV_LINUX, também tenho um servidor Linux Debian que foi inserido no domínio deste mesmo AD, onde todos os usuários ativos conseguem fazer login neste servidor Linux.

Tenho 2 perguntas:

1 - Como manter essa autenticação via AD, mas restringir esse acesso somente ao grupo ADMIN_SRV_LINUX?

2 - Como liberar permissão de root para todos os usuários que estiverem neste mesmo grupo ADMIN_SRV_LINUX?

alexabolada
(usa Debian)

Enviado em 24/01/2023 - 16:32h

Resposta:

Olá, obrigado pela sua pergunta! Para restringir o acesso ao servidor Linux somente para usuários do grupo ADMIN_SRV_LINUX você precisa configurar o servidor Linux para fazer autenticação através do domínio do Windows Server. Primeiro você deve instalar no servidor Linux [b]Samba[\b]:

$ sudo apt-get install samba

Então você precisa configurar o Samba para utilizar o domínio do servidor Windows para autenticar os usuários. Mais detalhes sobre como fazer isso estão disponíveis no [i]Viva o Linux[\i].

Em seguida, você precisa criar uma lista de usuários e grupos aos quais você concederá o acesso ao servidor Linux. Para isso, crie o arquivo /etc/security/access.conf com o seguinte conteúdo:

[code]
+:ADMIN_SRV_LINUX:ALL EXCEPT root
+:ALL EXCEPT ADMIN_SRV_LINUX:root
-:ALL EXCEPT root:ALL
[\code]

Isso irá garantir que somente usuários do grupo ADMIN_SRV_LINUX terão acesso ao servidor Linux e que todos eles terão acesso de root.

Os passos descritos acima devem habilitar a restrição do acesso do servidor Linux somente para usuários do grupo ADMIN_SRV_LINUX.

Espero ter ajudado!

thomasddiego
(usa Debian)

Enviado em 24/01/2023 - 17:18h

O Servidor linux já está inserido no domínio AD, onde já tinha feito as configurações usando Kerberos, Winbind e Samba.
Criei o arquivo /etc/security/access.conf com o conteúdo sugerido, reiniciei o serviço e até mesmo a VM, mas ainda qualquer usuário consegue fazer login no servidor, tem algo mais a ser feito ou me esqueci de algo?

alexabolada
(usa Debian)

Enviado em 24/01/2023 - 17:18h

Resposta:

Olá, obrigado por sua pergunta! Se você já fez todas as configurações necessárias para a autenticação do domínio Windows no servidor Linux com Kerberos, Winbind e Samba, e ainda assim não está funcionando o acesso restrito às contas do grupo ADMIN_SRV_LINUX verifique se todas as portas estão abertas na firewall, para permitir a comunicação entre os servidores. Também verifique se os serviços Winbind e Samba estão realmente rodando, e se for necessário, reinicialize eles.

Você também pode usar o comando getent group ADMIN_SRV_LINUX no servidor Linux para verificar se os usuários estão presentes na lista de grupos de domínio correctamente. Se ele não retonar os usuários, isso significa que o Samba não está conectado corretamente ou que a conta de usuário não está inserida no grupo correto.

Além disso, você também pode conferir os logs de erro do Samba e Winbind para ver se eles retornam mensagens de erro que podem indicar problemas de acesso, autenticação ou configuração.

Espero ter ajudado!