Windows 2003ドメインにいくつかのFedora 20ワークステーションを追加しています。ボックスを使用してドメインに正常に参加し、ドメインアカウントでログインできます。
今、私はデフォルトのADグループ_Enterprise Admins
_がSudo
を使用することを許可しようとしていますが、何をしても、グループが見つからないようです(または少なくとも、私のユーザーアカウントがsudoersファイル)
OUの構造(デフォルトは本当に):
私はrealmd
とsssd
を使用してドメインに参加し、Users
OUの下にあるグループにSudoを許可しようとしていますが、_CompanyName --> Admins
_ OU /サブグループも。
私は現在これを(/ etc/sudoersで)うまくいかずに試しています
_%MYDOMAIN\\Enterprise^Admins ALL=(ALL) ALL
_
以下のようなバリエーションも試しました。
_%MYDOMAIN\\Users\Enterprise^Admins ALL=(ALL) ALL
%Enterprise^[email protected] ALL=(ALL) ALL
_
など...何も機能していないようです。再起動後、および/または_systemctrl restart sssd
_。
ドメインアカウントを/ etc/sudoersファイルに明示的に追加した場合、問題なく機能します。
_[email protected] ALL=(ALL) ALL
_
SudoersにADグループを追加することが可能であると思われるいくつかのリソースがありますが、これまでのところ、どれも私のために機能していません:
http://funwithlinux.net/2013/09/join-Fedora-19-to-active-directory-domain-realmd/
https://serverfault.com/questions/387950/how-to-map-ad-domain-admins-group-to-ubuntu-admins
質問してから数か月後ですが、正解は、グループからすべてのドメイン情報を削除することです。すべての情報はSSSDによって自動的に設定および抽出されます。
いくつかの例で私が見た唯一の欠点は、^でスペースをエスケープしたことです。
_Enterprise Admins
_のADグループには、次で始まるsudoers行があります。
_%Enterprise\ Admins
_
たとえば、ドメインが_example.com
_の場合、sudoers行は次のようになります。
%Enterprise\ [email protected] ALL=(ALL) ALL
これを確認するには、グループのgetentの呼び出しを調べます。
_getent group Enterprise\ Admins
_
winbind
およびsssd
は、NISネットグループと同等の方法でADグループをインポートします。したがって、/etc/sudoers
ファイルのグループ定義は、+
ではなく%
で始まる必要があります。さらに、スペースを含む名前は二重引用符で囲むか、各スペースを\x20
として指定する必要があります。
%Sudo ALL = (ALL) ALL
+"domain users" ALL = (ALL) ALL
+domain\x20admins ALL = (ALL) NOPASSWD: ALL
Visudoを使用してSudoを管理する場合は、それがPAMを介していても、ローカルのsudoersファイルを介していても、%GroupName
を使用します。
Sudo-ldapを使用する場合は、ADグループをネットグループとして表示されるように構成し、+NetGroupName
を使用する必要があります。これを行うには、NFSロールを有効にして、通常のADグループに対応するネットグループを作成します。
New-NfsNetgroup -NetGroupName MyNetGroup -AddMember MyMember
* MyMemberはfqdnではなく、ホスト名のみであることに注意してください
また、PAMの代わりにsssdを使用するため、sss_cache -E
でキャッシュをフラッシュして、新しいネットグループ名を取得する必要があります。
確認:
getent netgroup MyNetGroup
見るべき:
MyNetGroup (MyMember,-,-)
ADDCでNFS共有を有効にしていません。NFSロールをインストールすると、Netgroup名前空間での作成が許可されます。