web-dev-qa-db-ja.com

pam_winbindを使用するときに、ActiveDirectoryグループに基づいてLinuxでユーザーにsu / Sudoを設定する

Yastに組み込みのActiveDirectory構成(すべてのpam_winbind、Kerberos、nss、Sambaクライアントの処理を実行する)を備えたopenSUSE 11.4を使用しており、ADドメインに対して正常に認証できます。

LinuxAdminsというADグループを作成しました。そのグループのユーザーが、rootパスワードなしで特定のLinuxサーバーでsuを実行できるようにするか、それらのマシンで独自のパスワードを使用してSudoを実行できるようにしたいのです。

OpenSUSEがADを構成する方法では、ドメインのプレフィックスが付いたユーザー名を設定します。したがって、ユーザー名はMYDOMAN\djsumdogになります。次のいずれかの行をsudoersファイルに追加しようとしても、ユーザーでSudoを実行できません。 「MYDOMAIN\djsumdogがsudoersファイルにありません。このインシデントが報告されます。」というメッセージが表示され続けます。ユーザー名とグループ名にシングルスラッシュとダブルスラッシュの両方を試しました。

%MYDOMAIN\LinuxAdmins ALL=(ALL) ALL
MYDOMAIN\djsumdog ALL=(ALL) ALL 

私のGentooボックスでは、/ etc/pam.d/suの次の行により、wheelグループのユーザーがパスワードなしでsuを実行できることがわかります。

auth       sufficient   pam_wheel.so use_uid trust

しかし、これはopenSUSEでは(ローカルユーザーであっても)機能しないようです。 pam_winbind.soモジュールも使用してみました。

#%PAM-1.0
auth     sufficient     pam_rootok.so
auth     include        common-auth
auth     sufficient     pam_winbind.so require_membership_of=MYDOMAIN\\LinuxAdmins
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so

しかし、require_membership_ofパラメーターはマシン全体に対するプライマリ認証用であるように思われるため、これは機能しないと思います。

ユーザーのパスワードを使用したSudoの方が安全であることはわかっていますが、ユーザーをADグループに対して検証することで、suまたはSudoのいずれかを機能させることができれば幸いです。

3
djsumdog

Hadyman5のコメントによると、私は次のことを実行しました。

 id MYDOMAIN\\djsumdog

...そして私のグループが実際にはMYDOMAIN\linuxadminsであることがわかりましたすべて小文字。次に、Sudo構成に以下を追加しました。

%MYDOMAIN\\linuxadmins ALL=(ALL) ALL

そして、Sudoはそのグループのユーザーとうまく連携するようになりました。

7
djsumdog

指示を使用して、centos 7ボックスを2012-r2ドメインにある Here に追加すると、ドメインに追加できました。 ADグループをsudoersに追加するには、グループを%GroupName@DOMAIN ALL=(ALL) ALLとしてフォーマットする必要があり、機能しました。

0
Eric Tucker