LDAP sudoersルールが機能するのに問題があります。私の環境は次のとおりです
- Windows Server 2012 R2のActive Directory
- Ubuntu 16.04.2
- SSSD 1.13.4-1ubuntu1.5
- sudo 1.8.20-3(公開時点で最新、LDAP、および非LDAPバージョンを試す)
フォローするこのガイドラインsudo_debug.log生成(クリーンアップ):
Jun 19 14:53:28 sudo[60452] Received 2 rule(s)
Jun 19 14:53:28 sudo[60452] -> sudo_sss_filter_result @ ./sssd.c:225
...
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoHost 'ALL' ... MATCH!
...
Jun 19 14:53:28 sudo[60452] val[0]=%linuxadmins
...
Jun 19 14:53:28 sudo[60452] sudo_get_grlist: looking up group names for [email protected]
...
Jun 19 14:53:28 sudo[60452] sudo_getgrgid: gid 1157000513 [] -> group domain [email protected] [] (cache hit)
...
Jun 19 14:53:28 sudo[60452] user_in_group: user [email protected] NOT in group linuxadmins
Jun 19 14:53:28 sudo[60452] <- user_in_group @ ./pwutil.c:1031 := false
Jun 19 14:53:28 sudo[60452] user [email protected] matches group linuxadmins: false @ usergr_matches() ./match.c:969
Jun 19 14:53:28 sudo[60452] <- usergr_matches @ ./match.c:970 := false
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoUser '%linuxadmins' ... not ([email protected])
...
このログで次のことを確認できます。
- sudoersルールはADからsudoを取得します(2つのルール、表示されているルールはADエントリと一致します)。
linuxadmins
グループ内の一致に失敗しました
ただし、ユーザーはlinuxadmins
グループに属しています(クリーンアップされていますが、「ユーザー」は一致しています)。
$ getent group linuxadmins
[email protected]:*:1157001133:[email protected],[email protected]
このログの唯一の奇妙なことは、sudo_get_grlist
ユーザーのデフォルトグループのみを返すようです。これは競争がない理由を説明します。domain [email protected]
これ見た人いますか?グループリストがsudo(私の質問を待つ必要がある場所sudo-users
)または他の場所(SSSDなど)(リストを見つける必要がある場所)内で解決されるかどうかをご存知ですか?
答え1
はい、主要なグループが不足しているのは問題かもしれません。動作するという事実はgetent group
重要ではありsudo
ません。 initgroups出力を使用するとid
。
そして、あなたもsssd-usersが最高だと思います:https://lists.fedorahosted.org/admin/lists/sssd-users.lists.fedorahosted.org/
しばらく前に、トラブルシューティングガイドも修正しました。https://pagure.io/docs/SSSD/sssd/、直接リンクは次のとおりです。https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html
答え2
CentOS 7では、次の基本グループのみを表示する同じIDの問題がありました。
id DOMAIN\\administrator
uid=485400500(administrator) gid=485400513(domain users) groups=485400513(domain users)
私はこの参考資料を読んでいます(関連)私を編集し、/etc/sssd/sssd.conf
いくつかの推奨設定オプションが欠落していることに気づきました。以前は次のみ持っていました。
[domain/AD.DOMAIN]
id_provider = ad
そのため、参照で言及されている他のフラグを以下に追加しました。
auth_provider = ad
chpass_provider = ad
access_provider = ad
残念ながら、これらのどちらがこれらの改善に責任があるかはわかりませんが、推測する必要がある場合はそれでしたauth_provider = ad
。これで、id
次のような結果が得られました。
id DOMAIN\\administrator
uid=485400500(administrator) gid=485400513(domain users)
groups=485400513(domain users),485400518(schema admins),485400519(enterprise
admins),485400512(domain admins),485403117(sudoers),485400520(group policy
creator owners),485400572(denied rodc password replication
group),485401624(esx admins),485401679(wseremotewebaccessusers),
485401680(wseallowshareaccess),485401681(wseallowcomputeraccess),
485401682(wseallowmediaaccess),485401683(wseallowadd inaccess),485401684(wseallowdashboardaccess),
485401685(wseallowhomepagelinks),45401686(wsealertadministrators),
485401687(wseremoteaccessusers),485403103(ipamad mins)