web-dev-qa-db-ja.com

Sudoersファイルを編集して、ADドメイングループへのSudo権限を許可する

最近、Ubuntu Server 18.04マシンを会社のWindows ADに接続することができました。 AD資格情報でログインできますが、さらに一歩進めたい...

これは、Ubuntu 18.04マシンをWindowsドメインに取り込むために従った記事です。まだ苦労しているため、ドメイングループへのsshログインを制限するための構成は行わなかったことに注意してください。 https://www.smbadmin.com/2018/06/connecting-ubuntu-server-1804-to-active.html?showComment=1548915938955#c6716393705599388679

しかしながら....

私が達成しようとしている目標は次のとおりです。

  • / etc/sudoersファイルに、組織内のADグループを指定する行を追加します。
  • このグループのメンバーは、組織内のLinuxマシンでSudoアクセスを持っている必要があります。

私がやったこと:

  • 私は次のような行を追加してみました:
  • 「ドメイン名\グループ名ALL =(ALL:ALL)ALL」
  • さらに....しかし、グループに所属していることがわかっているユーザーとSudoを実行しようとすると、いつも「... sudoersに参加していないユーザー...インシデントが報告されます...」というメッセージが表示されます。

これの理由は何でしょうか?マシンをADドメインに接続するときに指定した構成が原因である可能性がありますか?

このグループへのフルパスは次のとおりです。-domainname/Groups/Elab/Elab-Level3

ADドメインへの参加に使用するファイルの構成は次のとおりです。

krb5.conf

[libdefaults]
    default_realm = MYREALM
dns_lookup_kdc = true
dns_lookup_realm = true

......残りのファイル........

realmd.conf

[users]
 default-home = /home/%D/%U
 default-Shell = /bin/bash

[active-directory]
 default-client = sssd
 os-name = Ubuntu Server
 os-version = 18.04

[service]
 automatic-install = no

[mydomain]
 fully-qualified-names = yes
 automatic-id-mapping = no
 user-principal = yes
 manage-system = yes

sssd.conf

[sssd] 
domains = mydomain config_file_version = 2
services = nss, pam, ssh

[domain/mydomain]
ad_domain = mydomain
krb5_realm = MYDOMAIN
realmd_tags = manages-system joined-with-adcli 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_Shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
ldap_user_ssh_public_key = altSecurityIdentities

私はここの誰かが答えを持っていることを本当に望んでいます、私は多くのスレッドを検索しました、そしてこのナットをクラックすることができませんでした

2
Hunter Lowe

グループが単一のWordで構成されている場合は、次のレコードを/ etc/sudoersファイルに追加するだけで十分です。

%ActiveDirectoryUserGroup ALL=(ALL:ALL) ALL

グループにスペースが含まれている場合、レコードは次のようになります。

%Domain\ Users ALL=(ALL:ALL) ALL
%Domain\ Admins ALL=(ALL:ALL) NOPASSWD:ALL
%Linux\ Admins ALL=(ALL:ALL) NOPASSWD:ALL

ここで、「Domain\Users」、「Domain\Admins」、「Linux\Admins」はActive Directoryのグループ名です

3
Viktor
%MYDOMAIN\\domain\ admins  ALL=(ALL) ALL

DOMAIN NAMEは大文字、グループ名は小文字、Separator [\]およびスペースは「\」でエスケープされます。

0
tak