Sudoの修正方法：setreuid（ROOT_UID、user_uid）：操作はエラーを許可していませんか？

これは 既知のバグ Debian（およびUbuntu）がOpenSSLからGnuTLSwithOpenLDAPOpenSSLのライセンスの問題のため。問題は、libgcrypt（GnuTLSの現在の暗号化バックエンド）の初期化方法にあります。この問題はUbuntu 9.10以降に発生しており、アップストリームGnuTLSはlibgcrypt（明らかに他の問題もある）から libnettle に切り替えています。この変更によりダウンストリームになるまで、次の3つの回避策があります。これらはすべて、上記の バグレポート に列挙されています。

1. コンパイルlibgnutls26ソースからuselibnettleの代わりにlibgcrypt
2. Compilelibldapソースからusegnutls26の代わりにopenssl
3. Uselibnss-ldapdの代わりにlibnss-ldap。これにはいくつかのバリエーションがあります。最初にlibpam-ldapを使用します。これは、libnns-ldapを依存関係として取り込み、構成を複雑にします。次に、完全ではないlibpam-ldapdを使用します。特に、ユーザーのサブセットを制限できるすべてのpam _ *構成が欠けています。この欠陥を克服するために、slapdでnssovオーバーレイを使用できますが、これはUbuntuのslapdには含まれていません（ソースからコンパイルする必要があります）。 libpam-ldapdは、nslcdデーモンを使用してLDAPルックアップを処理します。したがって、構成には/etc/nslcd.confではなく/etc/ldapを使用します。特に、pam_authz_searchを使用して認証を制限できます。詳細については、man nslcd.confを参照してください。 startTLSを設定する必要がある場合は、かなり良いハウツー here と here もあります。

UPDATE：2012年5月29日の時点で、Lucid、Natty、およびOneiric。これにより、LDAPログインの問題が修正されました。ただし、2012年9月6日の時点で、この新しいパッチは他のパッケージを破壊することが示されています 1 であり、削除されました。また、 このバグ で説明されているように、nscdを使用した回避策はまったく機能しません。これは不幸な回帰であり、さらに悪いことに、問題はPreciseおよびQuantal。最終的に、唯一の本当の修正はlibgcrypt11を捨ててlibnettle4を支持することです。 Precise および Quantal の新しいlibgnutls28はすでにこれを行っていますが、libldapはまだlibgnutls26を使用しています。

compilelibgnutls26からsourceへの指示はコメントで説明されています 22 、 2 、および 24 in このバグレポート しかし、指示はPreciseに対してのみ機能するようです。