CUPS + smb tiskarna + krb5

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Čtvrtek Leden 31 12:13:47 CET 2013


On Thu, 31 Jan 2013, Luděk Finstrle wrote:

> /bin/su -p -c "KRB5CCNAME=\"DIR:\$(/bin/ls -td /run/user/\`/usr/bin/id 
> -u\`/krb5cc_* | /usr/bin/head -n1)\" /usr/bin/smbspool $1 $2 \"$3\" $4 
> \"$5\"" $2

Nedávno tady byla taková menší diskuse o tom, jak předávat bezpečně 
parametry dovnitř su... (Jistě, spouští se to pod rootem a tak, ale když 
už chcete žonglovat s granáty, tak je pořád lepší z nich nevytahovat 
pojistky.)

> Potud dobry, ale mam problem, ze se selinuxem v rezimu enforcing mi to 
> neprojde su pres pam_rootok a tudiz to nefunguje.

A jak víte, že to neprojde přes pam_rootok? Napsalo se něco do logu?
(Mimochodem, v audit.log mohou být i hlášky, které audit2allow nedokáže 
zpracovat a ignoruje.)

> pam_rootok ma podporu selinuxu, ktera navic checkuje korektnost a ta 
> pada, ale nevim co kde nastavit, abych cupsu (pod rootem) povolil su.

Korektnost čeho? Podle zdrojáků to vypadá, že provádí volání
selinux_check_passwd_access s parametrem PASSWD__ROOTOK. Hádám, že budete 
potřebovat něco jako "allow cups_t self:passwd { rootok }"

Jestli je to tady tím a jestli se o tom nic nenapíše do audit logu, tak by 
to bylo možná na nějaké hlášení, že by se to tam zaznamenat mělo.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /


Další informace o konferenci Linux