Sudo Access для групп Active Directory

1

У меня есть компьютер с Linux, подключенный к AD, но я не могу получить права sudo. Я могу войти, используя учетные данные AD, но sudo не работает.

Я посмотрел на все, что я могу найти, и все говорят, чтобы добавить следующее в файл sudoers:

% MYDOMAIN \ mygroup ALL = (ALL) ALL

Когда я делаю это и пытаюсь сделать sudo, он отвечает:

myusername отсутствует в файле suoders. Об этом инциденте будет сообщено.

Может ли быть проблема в том, что домен / группа AD не указана в файле group или passwd? Если так, как я могу добавить это?

linux active-directory sudo sssd AverageAllen
источник
Если вы делаете "getent group MYDOMAIN \ mygroup", это дает вам членов? Как ты "подключен" к AD, winbind? Поместите какую-нибудь группу, которую показывает ваш пользователь, если вы получаете себя.
TheFiddlerWins
Я смог заставить его работать, но только запустив «id», который ответил моей группой, которую я затем поместил в файл Sudoers. Шаг в правильном направлении, но он работает только с моей основной группой, как указано в атрибуте Unix в Active Directory. Мне также нужно, чтобы он работал со всеми группами, членами которых он является
AverageAllen

Ответы:

3

https://unix.stackexchange.com/questions/150476/allow-ad-groups-to-sudo может помочь:

winbind и sssd импортируют группы AD аналогичным образом в сетевые группы NIS. Таким образом, определения вашей группы в /etc/sudoersфайле должны начинаться с, +а не с %. Кроме того, имена, содержащие пробелы, должны либо заключаться в двойные кавычки, либо каждый пробел указываться как \ x20.

%sudo              ALL = (ALL) ALL
+"domain users"    ALL = (ALL) ALL
+domain\x20admins  ALL = (ALL) NOPASSWD: ALL
Rey
источник