Domingo, 22 Septiembre 2013 11:18

Autenticación LDAP y Polkit

En sistemas centralizados donde se usa un sistema de autenticación por LDAP anteriormente se usaban los grupos de usuarios para dar permisos a los distintos usuarios, se asignaba por ejemplo al grupo de plugdev para poder montar PEN USB o CDROM, grupo audio para acceder al audio, poder apagar el ordenador en el menú de GNOME o GDM, etc..

Pero con el nuevo cambio al sistema polkit se tiene que crear una configuración por cada puesto de trabajo dentro de /etc/polkit-1/rules.d/ con lo cual tener un sistema centralizado desaparece, por tener que sincronizar en todos los ordenadores los ficheros para ajustar los permisos. Apareciendo los errores de "Mount failed: Not Authorized" al intentar montar un dispositivo USB, no mostrando en el menú de usuario las opciones de apagar y reiniciar, no poder conectarse a una red wifi, etc...

Existe una solución que aunque no muy elegante puede funcionar en la mayoría de los casos, sobre todo si no existen grandes limitaciones para los usuarios, es dar permisos a todos y en casos necesarios quitarlos. Con lo cual simplificamos las reglas de polkit.

Creamos el fichero 50-allowall.rules en /etc/polkit-1/rules.d/

polkit.addRule(function(action, subject) {
        return polkit.Result.YES;
});

Y a partir de ese momentos todos los usuarios tendrán permisos, luego es ir creando reglas para quitar permisos a los usuarios o grupos que nos interesan.

Referencias:

Publicado en Seguridad