允许 AD 组 SUDO

Question

允许 AD 组 SUDO

Sna*_*Doc 6 fedora active-directory sudo domain sssd

我正在向我们的 Windows 2003 域添加一些 Fedora 20 工作站。我已经用盒子成功加入了域，并且可以使用域帐户登录。

现在，我试图让广告组的默认Enterprise Admins使用SUDO，但无论我做什么，似乎组无法找到（或至少它告诉我，我的用户帐户不是在sudoers文件）

OU的结构（默认为真的）：

mydomain.local
- 内置
- 电脑
- DCOM-用户
- 域控制器
- 外国安全负责人
- 公司名
  - 管理
  - 会计
  - 管理员
  - 系统账户
  - 客户服务
  - 仓库
- 用户

我使用realmd和sssd加入域，并试图允许 sudo 到位于UsersOU下的组，但也想从CompanyName --> AdminsOU/子组中添加一些。

我目前正在尝试这个，但没有运气（在 /etc/sudoers 中）

%MYDOMAIN\\Enterprise^Admins ALL=(ALL) ALL

Run Code Online (Sandbox Code Playgroud)

我也尝试过变体，例如：

%MYDOMAIN\\Users\Enterprise^Admins ALL=(ALL) ALL
%Enterprise^Admins@mydomain.local ALL=(ALL) ALL

Run Code Online (Sandbox Code Playgroud)

等等......似乎没有任何效果。即使在重新启动和/或systemctrl restart sssd.

如果我明确地将我的域帐户添加到 /etc/sudoers 文件中，它就没有问题。

myuser@mydomain.local ALL=(ALL) ALL

Run Code Online (Sandbox Code Playgroud)

有一些资源似乎表明应该可以将 AD 组添加到 sudoers，但是到目前为止，它们都没有为我工作：

http://funwithlinux.net/2013/09/join-fedora-19-to-active-directory-domain-realmd/

https://serverfault.com/questions/387950/how-to-map-ad-domain-admins-group-to-ubuntu-admins

https://help.ubuntu.com/community/LikewiseOpen

Answer 1

小智 6

Several months after you asked but the correct answer is that you remove all domain information from the group. All the information is set and extracted by SSSD automatically.

The only flaw I see in some of your examples is that you escaped the space with a ^.

An AD group of Enterprise Admins would have a sudoers line that starts with

%Enterprise\ Admins

例如，如果您的域是example.com，那么 sudoers 行看起来像

%Enterprise\ Admins@example.com ALL=(ALL) ALL

您可以通过查看组上的调用 getent 来验证这一点。

getent group Enterprise\ Admins

归档时间：	11 年，1 月前
查看次数：	24857 次
最近记录：	8 年，4 月前