<div dir="ltr">Jakub,<div><br></div><div>Yes, I could do this. But then the local root account cannot su to local users (without password). But that is actually a normal use-case. I just think local root should not be allowed to transition to a domain user, by default.</div>
<div class="gmail_extra"><br clear="all"><div><div dir="ltr"><div>Fred</div></div></div>
<br><div class="gmail_quote">On Fri, Nov 29, 2013 at 2:48 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Fri, Nov 29, 2013 at 03:11:01PM +0200, Alexander Bokovoy wrote:<br>
> On Fri, 29 Nov 2013, Fred van Zwieten wrote:<br>
> >Hi,<br>
> ><br>
> >When being root on an ipa-client, I can su to any IPA user. This is<br>
> >somewhat unexptected behaviour in comparison to Windows. If I am local<br>
> >administrator in a windows AD member server, I cannot become a domain user.<br>
> >I need to be domain administrator for that.<br>
> ><br>
> >Is it possible to have this "feature" disabled somehow?<br>
> root user on Linux systems by default has CAP_SETUID capability which<br>
> allows to change process uid to a different user. If the capability is<br>
> there, the only way to reduce transition from a specific user to another<br>
> one is by confining it via appropriate security module, for example,<br>
> through properly defined SELinux policy that prevents a root to<br>
> transition to the context of an IPA user. Someone needs to write this<br>
> policy and deploy at IPA clients first.<br>
<br>
</div></div>I think Fred is actually referring to the pam_rootok.so module that<br>
always returns PAM_SUCCESS if the caller has UID 0.<br>
<br>
Fred, if you comment out the line with "pam_rootok.so" in the file<br>
/etc/pam.d/su can you still log in as any user from root?<br>
<br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</blockquote></div><br></div></div>