pam_winbindを使用するときに、ActiveDirectoryグループに基づいてLinuxでユーザーにsu / Sudoを設定する

Yastに組み込みのActiveDirectory構成（すべてのpam_winbind、Kerberos、nss、Sambaクライアントの処理を実行する）を備えたopenSUSE 11.4を使用しており、ADドメインに対して正常に認証できます。

LinuxAdminsというADグループを作成しました。そのグループのユーザーが、rootパスワードなしで特定のLinuxサーバーでsuを実行できるようにするか、それらのマシンで独自のパスワードを使用してSudoを実行できるようにしたいのです。

OpenSUSEがADを構成する方法では、ドメインのプレフィックスが付いたユーザー名を設定します。したがって、ユーザー名はMYDOMAN\djsumdogになります。次のいずれかの行をsudoersファイルに追加しようとしても、ユーザーでSudoを実行できません。 「MYDOMAIN\djsumdogがsudoersファイルにありません。このインシデントが報告されます。」というメッセージが表示され続けます。ユーザー名とグループ名にシングルスラッシュとダブルスラッシュの両方を試しました。

%MYDOMAIN\LinuxAdmins ALL=(ALL) ALL
MYDOMAIN\djsumdog ALL=(ALL) ALL 

私のGentooボックスでは、/ etc/pam.d/suの次の行により、wheelグループのユーザーがパスワードなしでsuを実行できることがわかります。

auth       sufficient   pam_wheel.so use_uid trust

しかし、これはopenSUSEでは（ローカルユーザーであっても）機能しないようです。 pam_winbind.soモジュールも使用してみました。

#%PAM-1.0
auth     sufficient     pam_rootok.so
auth     include        common-auth
auth     sufficient     pam_winbind.so require_membership_of=MYDOMAIN\\LinuxAdmins
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so

しかし、require_membership_ofパラメーターはマシン全体に対するプライマリ認証用であるように思われるため、これは機能しないと思います。

ユーザーのパスワードを使用したSudoの方が安全であることはわかっていますが、ユーザーをADグループに対して検証することで、suまたはSudoのいずれかを機能させることができれば幸いです。