ADグループSUDOを許可

tag-icon tag-icon fedora sudo domain active-directory sssd
ADグループSUDOを許可

Windows 2003ドメインにいくつかのFedora 20ワークステーションを追加する予定です。ボックスを使用してドメインに正常に参加し、ドメインアカウントを使用してログインできます。

Enterprise AdminsデフォルトのADグループを許可しようとしていますがSUDO、グループが見つからないようです(または少なくとも私のユーザーアカウントがsudoersファイルにないことを示すメッセージが表示されます)。

OU構造(デフォルト):

  • ローカルドメイン名
    • 組み込み
    • コンピュータ
    • DCOM - ユーザー
    • ドメインコントローラ
    • 外交安全保障室長
    • 会社名
      • 管理する
      • 会計
      • マネージャー
      • システムアカウント
      • カスタマーサービス
      • 倉庫
    • ユーザー

ドメインを使用してrealmd参加sssdしており、OUの下のグループにsudoを許可しようとしていますが、OU /サブグループの一部のグループも追加したいとUsers思います。CompanyName --> Admins

私は現在これを試していますが、運がありません(/ etc / sudoersから)

%MYDOMAIN\\Enterprise^Admins ALL=(ALL) ALL

また、次のようないくつかのバリエーションを試しました。

%MYDOMAIN\\Users\Enterprise^Admins ALL=(ALL) ALL
%Enterprise^[email protected] ALL=(ALL) ALL

ちょっと…何も働かないと思います。再起動後もおよび/またはsystemctrl restart sssd

ドメインアカウントを/etc/sudoersファイルに明示的に追加すると、問題なく動作します。

[email protected] ALL=(ALL) ALL

sudoerにADグループを追加することが可能でなければならないことを示すいくつかのリソースがありますが、これまでのところ何も効果がありませんでした。

http://funwithlinux.net/2013/09/join-fedora-19-to-active-directory-domain-realmd/

https://serverfault.com/questions/387950/how-to-map-ad-domain-admins-group-to-ubuntu-admins

https://help.ubuntu.com/community/LikewiseOpen

答え1

お問い合わせから数ヶ月が経過しましたが、正解はグループからすべてのドメイン情報を削除することです。すべての情報はSSSDによって自動的に設定され抽出されます。

いくつかの例で私が見た唯一の欠陥は、^を使用してスペースをエスケープすることです。

AD グループには、Enterprise Adminssudoers で始まる行があります。

%Enterprise\ Admins

たとえば、ドメインがある場合、example.comsudoers行は次のようになります。

%Enterprise\ [email protected] ALL=(ALL) ALL

グループからgetentを呼び出してこれを確認できます。

getent group Enterprise\ Admins

答え2

winbind次に、sssdNISネットグループと同じ方法でADグループをインポートします。したがって、ファイルのグループ定義は代わり/etc/sudoersに始める必要があります。また、スペースを含む名前は二重引用符で囲むか、各スペースをとして指定する必要があります。+%\x20

%sudo              ALL = (ALL) ALL
+"domain users"    ALL = (ALL) ALL
+domain\x20admins  ALL = (ALL) NOPASSWD: ALL

答え3

PAM経由でもローカルsudoersファイルでもvisudoを使用してsudoを管理する場合%GroupName

sudo-ldapを使用している場合は、ADグループをネットグループとして処理して使用するように構成する必要があります+NetGroupName。私はNFSロールを有効にし、通常のADグループとペアになるネットグループを作成することでこれを行いました。

New-NfsNetgroup -NetGroupName MyNetGroup -AddMember MyMember

* MyMemberはFQDNではなくホスト名にすぎません。

また、PAMの代わりにsssdを使用しているため、sss_cache -E新しいネットグループ名を取得するにはキャッシュをフラッシュする必要があります。

確認する:

getent netgroup MyNetGroup

あなたは見なければなりません:

MyNetGroup    (MyMember,-,-)

ADDCでNFS共有を有効にしておらず、Netgroup名前空間で作成できるようにNFSロールをインストールしました。

答え4

sudoがAD Windowsグループを認識していないようです。

関連情報