Restringir acesso via grupo a um servidor linux incluso no AD

1. Restringir acesso via grupo a um servidor linux incluso no AD

Thomas Diego
thomasddiego

(usa Debian)

Enviado em 24/01/2023 - 16:32h

Boa tarde pessoal,

Tenho um servidor Windows Server 2019, que é o AD da rede, nele tenho um grupo ADMIN_SRV_LINUX, também tenho um servidor Linux Debian que foi inserido no domínio deste mesmo AD, onde todos os usuários ativos conseguem fazer login neste servidor Linux.

Tenho 2 perguntas:

1 - Como manter essa autenticação via AD, mas restringir esse acesso somente ao grupo ADMIN_SRV_LINUX?

2 - Como liberar permissão de root para todos os usuários que estiverem neste mesmo grupo ADMIN_SRV_LINUX?


  


2. Re: Restringir acesso via grupo a um servidor linux incluso no AD

Alexa Bolada
alexabolada

(usa Debian)

Enviado em 24/01/2023 - 16:32h

Resposta:

Olá, obrigado pela sua pergunta! Para restringir o acesso ao servidor Linux somente para usuários do grupo ADMIN_SRV_LINUX você precisa configurar o servidor Linux para fazer autenticação através do domínio do Windows Server. Primeiro você deve instalar no servidor Linux [b]Samba[\b]:

$ sudo apt-get install samba

Então você precisa configurar o Samba para utilizar o domínio do servidor Windows para autenticar os usuários. Mais detalhes sobre como fazer isso estão disponíveis no [i]Viva o Linux[\i].

Em seguida, você precisa criar uma lista de usuários e grupos aos quais você concederá o acesso ao servidor Linux. Para isso, crie o arquivo /etc/security/access.conf com o seguinte conteúdo:

[code]
+:ADMIN_SRV_LINUX:ALL EXCEPT root
+:ALL EXCEPT ADMIN_SRV_LINUX:root
-:ALL EXCEPT root:ALL
[\code]

Isso irá garantir que somente usuários do grupo ADMIN_SRV_LINUX terão acesso ao servidor Linux e que todos eles terão acesso de root.

Os passos descritos acima devem habilitar a restrição do acesso do servidor Linux somente para usuários do grupo ADMIN_SRV_LINUX.

Espero ter ajudado!


3. Re: Restringir acesso via grupo a um servidor linux incluso no AD

Thomas Diego
thomasddiego

(usa Debian)

Enviado em 24/01/2023 - 17:18h


alexabolada escreveu:

Resposta:

Olá, obrigado pela sua pergunta! Para restringir o acesso ao servidor Linux somente para usuários do grupo ADMIN_SRV_LINUX você precisa configurar o servidor Linux para fazer autenticação através do domínio do Windows Server. Primeiro você deve instalar no servidor Linux [b]Samba[\b]:

$ sudo apt-get install samba

Então você precisa configurar o Samba para utilizar o domínio do servidor Windows para autenticar os usuários. Mais detalhes sobre como fazer isso estão disponíveis no [i]Viva o Linux[\i].

Em seguida, você precisa criar uma lista de usuários e grupos aos quais você concederá o acesso ao servidor Linux. Para isso, crie o arquivo /etc/security/access.conf com o seguinte conteúdo:

[code]
+:ADMIN_SRV_LINUX:ALL EXCEPT root
+:ALL EXCEPT ADMIN_SRV_LINUX:root
-:ALL EXCEPT root:ALL
[\code]

Isso irá garantir que somente usuários do grupo ADMIN_SRV_LINUX terão acesso ao servidor Linux e que todos eles terão acesso de root.

Os passos descritos acima devem habilitar a restrição do acesso do servidor Linux somente para usuários do grupo ADMIN_SRV_LINUX.

Espero ter ajudado!





O Servidor linux já está inserido no domínio AD, onde já tinha feito as configurações usando Kerberos, Winbind e Samba.
Criei o arquivo /etc/security/access.conf com o conteúdo sugerido, reiniciei o serviço e até mesmo a VM, mas ainda qualquer usuário consegue fazer login no servidor, tem algo mais a ser feito ou me esqueci de algo?



4. Re: Restringir acesso via grupo a um servidor linux incluso no AD

Alexa Bolada
alexabolada

(usa Debian)

Enviado em 24/01/2023 - 17:18h

Resposta:

Olá, obrigado por sua pergunta! Se você já fez todas as configurações necessárias para a autenticação do domínio Windows no servidor Linux com Kerberos, Winbind e Samba, e ainda assim não está funcionando o acesso restrito às contas do grupo ADMIN_SRV_LINUX verifique se todas as portas estão abertas na firewall, para permitir a comunicação entre os servidores. Também verifique se os serviços Winbind e Samba estão realmente rodando, e se for necessário, reinicialize eles.

Você também pode usar o comando getent group ADMIN_SRV_LINUX no servidor Linux para verificar se os usuários estão presentes na lista de grupos de domínio correctamente. Se ele não retonar os usuários, isso significa que o Samba não está conectado corretamente ou que a conta de usuário não está inserida no grupo correto.

Além disso, você também pode conferir os logs de erro do Samba e Winbind para ver se eles retornam mensagens de erro que podem indicar problemas de acesso, autenticação ou configuração.

Espero ter ajudado!






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts