Sudo para usuarios que se conectan desde otra red

Imagen de iknaxio

Forums: 

Por encargo de mi Jefa inmediata me encuentro tratando de delegar ciertas tareas como la revisión/modificación de cuotas, para lo cual estoy utilizando sudo.

Tengo el siguiente esquema de red:


_______________________________
192.168.55.16 ======> | 192.168.55.1 -> 192.168.35.1 | ========> 192.168.35.1
(PC de Operador) | (GW Red 55) (GW Red 35) | (Mail Server)
-------------------------------
LAN FIREWALL DMZ

En el Mail Server tengo la siguiente configuración:

# visudo

Host_Alias OPER_HOST = 192.168.35.1, 192.168.55.16, 192.168.55.1
User_Alias OPER_USR = amarch
Cmnd_Alias OPER_CMD = /usr/bin/quota, /usr/sbin/setquota, /usr/bin/mailq, /usr/sbin/sendmail

OPER_USR OPER_HOST=OPER_CMD

Me conecto via ssh al Mail Server desde la PC del Operador, y todo sin ningún problema:

login as: amarch
amarch@192.168.35.11's password:
Last login: Tue Jun 30 15:15:56 2009 from 192.168.35.1
[amarch@mail ~]$

Cuando quiero ejecutar no me deja por restricción de host

[amarch@mail ~]$ sudo mailq
Contraseña:
amarch is not allowed to run sudo on mail. This incident will be reported.

Finalmente en /var/log/audit/audit.log me loguea:

type=USER_AUTH msg=audit(1246396521.185:143998): user pid=32684 uid=0 auid=4238 msg='PAM: authentication acct="amarch" : exe="/usr/bin/sudo" (hostname=?, addr=?, terminal=/dev/pts/1 res=success)'
type=USER_ACCT msg=audit(1246396521.191:143999): user pid=32684 uid=0 auid=4238 msg='PAM: accounting acct="amarch" : exe="/usr/bin/sudo" (hostname=?, addr=?, terminal=/dev/pts/1 res=success)'
type=USER_CMD msg=audit(1246396521.191:144000): user pid=32684 uid=0 auid=4238 msg='cwd="/home/amarch" cmd="/usr/bin/mailq" (terminal=pts/1 res=failed)'

Cabe anotar que el comando se ejecuta sin problemas si en sudoers tengo:

OPER_USR ALL=OPER_CMD

Uso un Centos 5.3, cualquier sugerencia es bienvenida.

Salu2

Se me ocurre una: Revisa que

Imagen de Root Bit

Se me ocurre una:

Revisa que el nombre del hostname que tienes declarado en /etc/sysconfig/network coincida o sea el mismo con el que tienes en el /etc/hosts, ademas en este ultimo archivo pon el nombre completo como el alias, tanto para la Ip del localhost como para la IP de la eth0

There are only 10 types people in the world:
Those who understand binary and those who don't

Que tienes en el archivo /etc/sudoers

Imagen de juanmi

Con esto al fonal del archivo /etc/sudoers permito al usuario asterisk realizar estas siguientes operaciones sin passwords, reinciar, apagar, añadir un usuario a hylafax y borrar un usuario de hylafax

asterisk ALL = NOPASSWD: /sbin/reboot, /sbin/halt, /usr/sbin/faxdeluser, /usr/sbin/faxadduser -u * -p * *

Prueba añadiendo esta linea a tu Mail Server:

amarch ALL = NOPASSWD: /usr/bin/mailq

Espero que sea lo que te lo solucione ;-)

Tengo lo siguiente

Imagen de iknaxio


Host_Alias OPER_HOST = 192.168.35.1, 192.168.55.16, 192.168.55.1
User_Alias OPER_USR = amarch
Cmnd_Alias OPER_CMD = /usr/bin/quota, /usr/sbin/setquota, /usr/bin/mailq, /usr/sbin/sendmail

OPER_USR OPER_HOST=OPER_CMD

lo que no quiero es que amarch se pueda conectar desde cualquier host, y con ALL no tendría esa restricción, y en efecto con ALL si funka.

amarch ALL = NOPASSWD: /usr/bin/mailq

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net