<div dir="ltr">Would it not be possible for root to disable selinux enforcement? A user could maybe even use a livecd if root couldn't be gained directly.<div><br></div><div>I'm looking at joining workstations to an idm realm, but some users will need sudo permissions on their machines.</div>
<div><br></div><div>Is there any documentation on best practices here? Has there been any further discussion on the best way to approach this problem?</div><div><br></div><div>Thanks,</div></div><div class="gmail_extra"><br clear="all">
<div><div dir="ltr"><span style="font-family:arial,sans-serif;font-size:16px"><strong>Steve Dainard </strong></span><span style="font-size:12px"></span><br>
<span style="font-family:arial,sans-serif;font-size:12px">IT Infrastructure Manager<br>
<a href="http://miovision.com/" target="_blank">Miovision</a> | <em>Rethink Traffic</em><br><br>
<strong style="font-family:arial,sans-serif;font-size:13px;color:#999999"><a href="http://miovision.com/blog" target="_blank">Blog</a>  |  </strong><font color="#999999" style="font-family:arial,sans-serif;font-size:13px"><strong><a href="https://www.linkedin.com/company/miovision-technologies" target="_blank">LinkedIn</a>  |  <a href="https://twitter.com/miovision" target="_blank">Twitter</a>  |  <a href="https://www.facebook.com/miovision" target="_blank">Facebook</a></strong></font> </span>
<hr style="font-family:arial,sans-serif;font-size:13px;color:#333333;clear:both">
<div style="color:#999999;font-family:arial,sans-serif;font-size:13px;padding-top:5px">
        <span style="font-family:arial,sans-serif;font-size:12px">Miovision Technologies Inc. | 148 Manitou Drive, Suite 101, Kitchener, ON, Canada | N2C 1L3</span><br>
        <span style="font-family:arial,sans-serif;font-size:12px">This e-mail may contain information that is privileged or confidential. If you are not the intended recipient, please delete the e-mail and any attachments and notify us immediately.</span></div>
</div></div>
<br><br><div class="gmail_quote">On Fri, Nov 29, 2013 at 9:41 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On 11/29/2013 03:17 PM, Jakub Hrozek wrote:<br>
> On Fri, Nov 29, 2013 at 03:08:44PM +0100, Fred van Zwieten wrote:<br>
>> Jakub,<br>
>><br>
>> Yes, I could do this. But then the local root account cannot su to local<br>
>> users (without password). But that is actually a normal use-case. I just<br>
>> think local root should not be allowed to transition to a domain user, by<br>
>> default.<br>
>><br>
>> Fred<br>
><br>
> Ah, in that case I'm not sure if there's an easy solution, at least I<br>
> don't know any off hand. I think Alexander is right that SELinux would<br>
> be a good choice.<br>
<br>
</div>Right. Root could uncomment the pam_rootok.so line anyway if he wanted to<br>
access other user's account again.<br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br></div>