Polkit policy доменные группы?

Question

[Андрей]

Привет, может кто сталкивался, или подскажет
делаю конфиг для polkit(смысл чтобы у AD пользователей в RDP сеансах не выводились парольные запросы)

spoiler

тут либо править каждый полиси под каждую приложуху(что не радует) либо можно создать файл такого вида

[Do anything you want]
Identity=unix-group:admin
Action=*
ResultActive=yes

и тут как бы всё понятно Identity=unix-group:admin но у меня группы не локальные, а доменные -"domain users"
есть ли какой-то синтаксис где вместо unix-group:admin я прописываю условно pam-group-%domain users
не могу найти решение

Answer 1

[Сергей Тарасов]

Смотря какое действие провоцирует запрос пароля: посмотреть можно в "сведения" в окне запроса, потом пригодится
Я нашёл мануал , пусть не смущает, что KDE, хотя у вас вроде гном/юнити, не суть важно
и в директориях /etc/polkit-1/localauthority/xx-xxxx создаём файлы .pkla, само название берём из "сведения".

Конкретно в моём случае получилось убрать запросы рутового пароля на манипуляции с сетью (включение/отключение PPTP) следующим образом:
в файл /etc/polkit-1/localauthority/10-vendor.d/org.freedesktop.NetworkManager.pkla
внёс такое содержимое:

spoiler

[nm-applet]
Identity=unix-group:*
Action=org.freedesktop.NetworkManager.*
ResultActive=yes
ResultAny=yes
ResultInactive=yes

можно поиграться со строками Identity=unix-group:*(вместо * любую группу на усмотрение)
и Action=org.freedesktop.NetworkManager.* (после = должно совпадать с запросом и названием файла)
после каждой манипуляции с конфигами делай рестарт polkit

Comments

[Андрей]

Эти манипуляции с полиси я знаю, но мне не очень подходит под каждый запрос делать своё полиси(специфика в сотни vm и в каждой править, это так себе), я нашел более радикальный способ вообще избавиться от этих запросов вот но там всё упирается, как я писал выше в группы, по логике AD группа, это же не unix группа, всё упирается в синтаксис, если вообще это можно реализовать в рамках НЕ локальной группы......простые варианты в виде unix-group:* я пробовал, толку- нет

[Сергей Тарасов]

Андрей, unix-group:* - сюда вписываю не локальные группы, а доменные, + надо в RSAT (на 10ке этого пункта нет, только в win7) задать unix-аттрибут и приоритетную группу. и именно её будет смотреть вышеописанная строчка, а не локальную группу из /etc/group

[Андрей]

Сергей Тарасов, пока смог завести так
---------
[Do anything you want]
Identity=unix-group:*
Action=*
ResultAny=yes
ResultInactive=yes
ResultActive=yes

[Сергей Тарасов]

Андрей,
Action=* <= так делать лучше не надо, юзеры они такие, шаловливыми ручонками натворят бед, потом разгребай

[Андрей]

Сергей Тарасов, я знаю, что это разрешает всё, мне это и нужно)

Не знаете, как-то централизованно рулить этими политиками нельзя, аля как AD политиками?

[Сергей Тарасов]

Андрей, это можно сделать через /etc/sudoers, вот и вот хорошие мануалы на тему, у меня в организации такое используется, но всего лишь одна универсальная группа, вам же надо уже кучу разных прав разрулить на уже готовых машинах, что чревато... В моём случае одна строчка добавляется в /etc/sudoers скриптом при вводе компа в домен, думаю что совет "потестировать сначала на тестовой виртуалке" излишен, но всё-же уместен, не сочтите за грубость)
%mydomaingroup ALL=(ALL:ALL) ALL

[Андрей]

Сергей Тарасов, так ведь права sudoers это вроде как только про консоль, разве нет?
и они у меня настроены, с точки зрения выдача судошных права доменным пользователям
а мне надо polkit'ом как-то централизованно рулить

[Сергей Тарасов]

Андрей, тут я врядли смогу помочь, т.к. у нас в sudo-правах нет необходимости для всех и по-разному, всего один отдел, и то "sudo на всё из под доменных учёток". Понял о чём вы: надо не "открыл программу -> ввёл пароль -> пользуешься программой", а "открыл программу -> пользуешься программой, без запроса пароля", так?
Если так, тогда да, тут только polkit поможет, но возможно есть какие-то другие путя: у меня в линухе весьма неглубокие познания. Можно попробовать всякие "автоматизаторы", типа ansible или puppet, они, как я понял - единственная альтернатива GPO на linux-машинах. но ansible я не осилил пока что

[Андрей]

Сергей Тарасов, понял, спасибо за помощь! :)