sudoer:sudoerファイルのADドメイングループが機能しません。

sudoer:sudoerファイルのADドメイングループが機能しません。

私のサーバーはADドメインに参加しており、SSSDとゾーンを使用してこれを行います。 SSHとADの資格情報を使用してサーバーに正しくログインできます。私のユーザーがsudoを実行できるようにしたいので、うまく%MY_AD_GROUP ALL=(ALL) ALLいき/etc/sudoersません。次に、次のようにドメインを追加してみました。

%MY_DOMAIN\\MY_AD_GROUP ALL=(ALL) ALL
%MY_AD_GROUP@MY_DOMAIN ALL=(ALL) ALL
%:MY_AD_GROUP@MY_DOMAIN ALL=(ALL) ALL
+MY_AD_GROUP ALL=(ALL) ALL
+MY_DOMAIN\\MY_AD_GROUP ALL=(ALL) ALL
+MY_AD_GROUP@MY_DOMAIN ALL=(ALL) ALL

しかし、それらのどれも動作しません。 IDを実行すると:

$ id
uid=1953620811(my_user) gid=1953600513(domain users) groups=1953600513(domain users) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

私のユーザーが実際にADユーザーであることを示しています。

言及する価値がある点:まず、ADで私のグループの1つをチェックします。

$ getent group MY_AD_GROUP
MY_AD_GROUP:*:1953654054:user1,my_user,user3,user4

したがって、my_userはMY_AD_GROUPのメンバーであるため、/etc/sudoersvisudoを介してそれを追加して実行しようとしました。

$ sudo echo a
[sudo] password for my_user:
my_user is not in the sudoers file.  This incident will be reported.

その後、MY_AD_GROUPをもう一度確認してください。

$ getent group MY_AD_GROUP
MY_AD_GROUP:*:1953654054:user1,user3,user4

私のユーザーはリストから消えました(しかしそれでもADグループのメンバーであることがわかっています)。そして、一度実行して$ sss_cache -E実行すると、次のようになります。

$ getent group MY_AD_GROUP
MY_AD_GROUP:*:1953654054:user1,my_user,user3,user4

sudoは機能しませんが、ユーザーが再び表示されます。それで何が起こりましたか? ? ?

関連情報