Yastに組み込みのActiveDirectory構成(すべてのpam_winbind、Kerberos、nss、Sambaクライアントの処理を実行する)を備えたopenSUSE 11.4を使用しており、ADドメインに対して正常に認証できます。
LinuxAdminsというADグループを作成しました。そのグループのユーザーが、rootパスワードなしで特定のLinuxサーバーでsuを実行できるようにするか、それらのマシンで独自のパスワードを使用してSudoを実行できるようにしたいのです。
OpenSUSEがADを構成する方法では、ドメインのプレフィックスが付いたユーザー名を設定します。したがって、ユーザー名はMYDOMAN\djsumdogになります。次のいずれかの行をsudoersファイルに追加しようとしても、ユーザーでSudoを実行できません。 「MYDOMAIN\djsumdogがsudoersファイルにありません。このインシデントが報告されます。」というメッセージが表示され続けます。ユーザー名とグループ名にシングルスラッシュとダブルスラッシュの両方を試しました。
%MYDOMAIN\LinuxAdmins ALL=(ALL) ALL
MYDOMAIN\djsumdog ALL=(ALL) ALL
私のGentooボックスでは、/ etc/pam.d/suの次の行により、wheelグループのユーザーがパスワードなしでsuを実行できることがわかります。
auth sufficient pam_wheel.so use_uid trust
しかし、これはopenSUSEでは(ローカルユーザーであっても)機能しないようです。 pam_winbind.soモジュールも使用してみました。
#%PAM-1.0
auth sufficient pam_rootok.so
auth include common-auth
auth sufficient pam_winbind.so require_membership_of=MYDOMAIN\\LinuxAdmins
account sufficient pam_rootok.so
account include common-account
password include common-password
session include common-session
session optional pam_xauth.so
しかし、require_membership_ofパラメーターはマシン全体に対するプライマリ認証用であるように思われるため、これは機能しないと思います。
ユーザーのパスワードを使用したSudoの方が安全であることはわかっていますが、ユーザーをADグループに対して検証することで、suまたはSudoのいずれかを機能させることができれば幸いです。
Hadyman5のコメントによると、私は次のことを実行しました。
id MYDOMAIN\\djsumdog
...そして私のグループが実際にはMYDOMAIN\linuxadminsであることがわかりましたすべて小文字。次に、Sudo構成に以下を追加しました。
%MYDOMAIN\\linuxadmins ALL=(ALL) ALL
そして、Sudoはそのグループのユーザーとうまく連携するようになりました。
指示を使用して、centos 7ボックスを2012-r2ドメインにある Here に追加すると、ドメインに追加できました。 ADグループをsudoersに追加するには、グループを%GroupName@DOMAIN ALL=(ALL) ALL
としてフォーマットする必要があり、機能しました。