web-dev-qa-db-ja.com

ADグループにSUDOを許可する

Windows 2003ドメインにいくつかのFedora 20ワークステーションを追加しています。ボックスを使用してドメインに正常に参加し、ドメインアカウントでログインできます。

今、私はデフォルトのADグループ_Enterprise Admins_がSudoを使用することを許可しようとしていますが、何をしても、グループが見つからないようです(または少なくとも、私のユーザーアカウントがsudoersファイル)

OUの構造(デフォルトは本当に):

  • mydomain.local
    • ビルトイン
    • コンピューター
    • DCOMユーザー
    • DOmainコントローラー
    • ForeignSecurityPrincipals
    • 会社名
      • 管理
      • 経理
      • 管理者
      • SysAccounts
      • 顧客サービス
      • 倉庫
    • ユーザー

私はrealmdsssdを使用してドメインに参加し、Users OUの下にあるグループにSudoを許可しようとしていますが、_CompanyName --> Admins_ OU /サブグループも。

私は現在これを(/ etc/sudoersで)うまくいかずに試しています

_%MYDOMAIN\\Enterprise^Admins ALL=(ALL) ALL
_

以下のようなバリエーションも試しました。

_%MYDOMAIN\\Users\Enterprise^Admins ALL=(ALL) ALL
%Enterprise^[email protected] ALL=(ALL) ALL
_

など...何も機能していないようです。再起動後、および/または_systemctrl restart sssd_。

ドメインアカウントを/ etc/sudoersファイルに明示的に追加した場合、問題なく機能します。

_[email protected] ALL=(ALL) ALL
_

SudoersにADグループを追加することが可能であると思われるいくつかのリソースがありますが、これまでのところ、どれも私のために機能していません:

http://funwithlinux.net/2013/09/join-Fedora-19-to-active-directory-domain-realmd/

https://serverfault.com/questions/387950/how-to-map-ad-domain-admins-group-to-ubuntu-admins

https://help.ubuntu.com/community/LikewiseOpen

6
SnakeDoc

質問してから数か月後ですが、正解は、グループからすべてのドメイン情報を削除することです。すべての情報はSSSDによって自動的に設定および抽出されます。

いくつかの例で私が見た唯一の欠点は、^でスペースをエスケープしたことです。

_Enterprise Admins_のADグループには、次で始まるsudoers行があります。

_%Enterprise\ Admins_

たとえば、ドメインが_example.com_の場合、sudoers行は次のようになります。

%Enterprise\ [email protected] ALL=(ALL) ALL

これを確認するには、グループのgetentの呼び出しを調べます。

_getent group Enterprise\ Admins_

6
Georgyo

winbindおよびsssdは、NISネットグループと同等の方法でADグループをインポートします。したがって、/etc/sudoersファイルのグループ定義は、+ではなく%で始まる必要があります。さらに、スペースを含む名前は二重引用符で囲むか、各スペースを\x20として指定する必要があります。

%Sudo              ALL = (ALL) ALL
+"domain users"    ALL = (ALL) ALL
+domain\x20admins  ALL = (ALL) NOPASSWD: ALL
2
roaima

Visudoを使用してSudoを管理する場合は、それがPAMを介していても、ローカルのsudoersファイルを介していても、%GroupNameを使用します。

Sudo-ldapを使用する場合は、ADグループをネットグループとして表示されるように構成し、+NetGroupNameを使用する必要があります。これを行うには、NFSロールを有効にして、通常のADグループに対応するネットグループを作成します。

New-NfsNetgroup -NetGroupName MyNetGroup -AddMember MyMember

* MyMemberはfqdnではなく、ホスト名のみであることに注意してください

また、PAMの代わりにsssdを使用するため、sss_cache -Eでキャッシュをフラッシュして、新しいネットグループ名を取得する必要があります。

確認:

getent netgroup MyNetGroup

見るべき:

MyNetGroup    (MyMember,-,-)

ADDCでNFS共有を有効にしていません。NFSロールをインストールすると、Netgroup名前空間での作成が許可されます。

0
solly989