允許 AD 組 SUDO
我正在向我們的 Windows 2003 域添加一些 Fedora 20 工作站。我已經成功加入了該框的域,並且可以使用域帳戶登錄。
現在我正在嘗試允許使用預設的 AD 組
Enterprise Admins,SUDO但是無論我做什麼,似乎都找不到該組(或者至少它告訴我我的使用者帳戶不在 sudoers 文件中)OU 的結構(實際上是預設的):
mydomain.local
內置
電腦
DCOM-使用者
域控制器
外國安全負責人
公司名
- 管理
- 會計
- 管理員
- 系統帳戶
- 客戶服務
- 倉庫
使用者
我使用
realmd並sssd加入了域,並試圖允許 sudo 到位於UsersOU 下的組,但也想從CompanyName --> AdminsOU/子組中添加一些。我目前正在嘗試這個沒有運氣(在 /etc/sudoers 中)
%MYDOMAIN\\Enterprise^Admins ALL=(ALL) ALL我也嘗試過變體,例如:
%MYDOMAIN\\Users\Enterprise^Admins ALL=(ALL) ALL %Enterprise^Admins@mydomain.local ALL=(ALL) ALL等等……似乎沒有任何工作。即使在重新啟動後,和/或
systemctrl restart sssd.如果我明確地將我的域帳戶添加到 /etc/sudoers 文件中,它就沒有問題。
myuser@mydomain.local ALL=(ALL) ALL有一些資源似乎表明應該可以將 AD 組添加到 sudoers,但是到目前為止,它們都沒有為我工作:
http://funwithlinux.net/2013/09/join-fedora-19-to-active-directory-domain-realmd/
https://serverfault.com/questions/387950/how-to-map-ad-domain-admins-group-to-ubuntu-admins
在您詢問幾個月後,但正確的答案是您從組中刪除了所有域資訊。所有資訊均由 SSSD 自動設置和提取。
我在您的某些範例中看到的唯一缺陷是您使用 ^ 轉義了空格。
AD 組的
Enterprise Adminssudoers 行以
%Enterprise\ Admins例如,如果您的域是
example.com,那麼 sudoers 行看起來像
%Enterprise\ Admins@example.com ALL=(ALL) ALL您可以通過在組中呼叫 getent 來驗證這一點。
getent group Enterprise\ Admins