SudoersファイルにActive Directoryグループを追加するLinuxコマンド

SudoersファイルにActive Directoryグループを追加するLinuxコマンド

sudoersそのグループのメンバーへのローカル管理者アクセスを制限するためにActive Directory(AD)グループをファイルに追加するLinux(Red Hat)コマンドは何ですか?

たとえば、ADグループがあり、linux-admin次の行を追加したいとします。

%test.com\linux-admin ALL=(ALL) ALL

答え1

注:sudoersファイルの変更には特定のリスクがあります。始める前に考慮すべき事項は次のとおりです。

  • システムバックアップ

  • 物理ルートシェル(正しく設定されたSSH環境では、ルートがSSH経由でシステムにログインすることを禁止する必要があります)

  • 破損したコンテンツを「修復」するためにLive CDを起動する方法を理解してください。

AD統合がインストールされていると仮定すると、

グループ

ユーザーが所有するすべてのグループが一覧表示されます。これは、グループ名の大文字と小文字を正確に把握するために重要です。

インポートして/etc/sudoersファイルに追加します。行のいずれかを使用してnanoファイルの一番下に追加します。

%ドメイン\グループ名ALL =(ALL)ALL

または

%グループ名ALL =(ALL)ALL

ドメインは必要な場合もあれば必要ではない場合もあります。これは、AD認証統合を設定する際に、他の決定に基づいて決定されます。 AD認証ユーザーがにダンプされると、/home/<DOMAIN>/<username>ファイルのDOMAINとまったく同じ名前が必要になる可能性がありますsudoers

これをスクリプトで自動化するには、次を呼び出します。

echo "%グループ名 ALL=(ALL)ALL" >> /etc/sudoers

関連情報