ADとSSSDを含むLDAP Sudoers(デフォルトグループのみを返す)

ADとSSSDを含むLDAP Sudoers(デフォルトグループのみを返す)

LDAP sudoersルールが機能するのに問題があります。私の環境は次のとおりです

  • Windows Server 2012 R2のActive Directory
  • Ubuntu 16.04.2
  • SSSD 1.13.4-1ubuntu1.5
  • sudo 1.8.20-3(公開時点で最新、LDAP、および非LDAPバージョンを試す)

フォローするこのガイドラインsudo_debug.log生成(クリーンアップ):

Jun 19 14:53:28 sudo[60452] Received 2 rule(s)
Jun 19 14:53:28 sudo[60452] -> sudo_sss_filter_result @ ./sssd.c:225
...
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoHost 'ALL' ... MATCH!
...
Jun 19 14:53:28 sudo[60452] val[0]=%linuxadmins
...
Jun 19 14:53:28 sudo[60452] sudo_get_grlist: looking up group names for [email protected]
...
Jun 19 14:53:28 sudo[60452] sudo_getgrgid: gid 1157000513 [] -> group domain [email protected] [] (cache hit)
...
Jun 19 14:53:28 sudo[60452] user_in_group: user [email protected] NOT in group linuxadmins
Jun 19 14:53:28 sudo[60452] <- user_in_group @ ./pwutil.c:1031 := false
Jun 19 14:53:28 sudo[60452] user [email protected] matches group linuxadmins: false @ usergr_matches() ./match.c:969
Jun 19 14:53:28 sudo[60452] <- usergr_matches @ ./match.c:970 := false
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoUser '%linuxadmins' ... not ([email protected])
...

このログで次のことを確認できます。

  • sudoersルールはADからsudoを取得します(2つのルール、表示されているルールはADエントリと一致します)。
  • linuxadminsグループ内の一致に失敗しました

ただし、ユーザーはlinuxadminsグループに属しています(クリーンアップされていますが、「ユーザー」は一致しています)。

$ getent group linuxadmins
[email protected]:*:1157001133:[email protected],[email protected]

このログの唯一の奇妙なことは、sudo_get_grlistユーザーのデフォルトグループのみを返すようです。これは競争がない理由を説明します。domain [email protected]

これ見た人いますか?グループリストがsudo(私の質問を待つ必要がある場所sudo-users)または他の場所(SSSDなど)(リストを見つける必要がある場所)内で解決されるかどうかをご存知ですか?

答え1

はい、主要なグループが不足しているのは問題かもしれません。動作するという事実はgetent group重要ではありsudoません。 initgroups出力を使用するとid

そして、あなたもsssd-usersが最高だと思います:https://lists.fedorahosted.org/admin/lists/sssd-users.lists.fedorahosted.org/

しばらく前に、トラブルシューティングガイドも修正しました。https://pagure.io/docs/SSSD/sssd/、直接リンクは次のとおりです。https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html

答え2

CentOS 7では、次の基本グループのみを表示する同じIDの問題がありました。

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) groups=485400513(domain users)

私はこの参考資料を読んでいます(関連)私を編集し、/etc/sssd/sssd.confいくつかの推奨設定オプションが欠落していることに気づきました。以前は次のみ持っていました。

[domain/AD.DOMAIN]
id_provider = ad

そのため、参照で言及されている他のフラグを以下に追加しました。

auth_provider = ad
chpass_provider = ad
access_provider = ad

残念ながら、これらのどちらがこれらの改善に責任があるかはわかりませんが、推測する必要がある場合はそれでしたauth_provider = ad。これで、id次のような結果が得られました。

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) 
groups=485400513(domain users),485400518(schema admins),485400519(enterprise 
admins),485400512(domain admins),485403117(sudoers),485400520(group policy 
creator owners),485400572(denied rodc password replication 
group),485401624(esx admins),485401679(wseremotewebaccessusers), 
485401680(wseallowshareaccess),485401681(wseallowcomputeraccess),
485401682(wseallowmediaaccess),485401683(wseallowadd inaccess),485401684(wseallowdashboardaccess),
485401685(wseallowhomepagelinks),45401686(wsealertadministrators),
485401687(wseremoteaccessusers),485403103(ipamad mins)

関連情報