Eu tenho vários hosts do Ubuntu Linux que precisam se conectar ao Active Directory para gerenciamento de usuários (infelizmente um servidor LDAP real não era uma opção aqui ...) e configuraram o Winbind para lidar com autenticação, e minha entrada %sudoers group funciona bem:
## Allow AD members of the service group restricted user access to that account
%sudoers ALL=(ALL:ALL) NOPASSWD:ALL
Eu autorizei a autenticação por senha na configuração de ssh e adicionei a seguinte entrada ao meu arquivo sudoers para a conta:
%service ALL=(service:service) NOPASSWD:ALL
Isso nem mesmo encontra o grupo, embora os grupos sudoers e service estejam no mesmo nível na árvore de diretórios do servidor do AD. Quando faço isso:
%domain.local\service ALL=(ALL:ALL) NOPASSWD:ALL
... os membros do grupo service podem efetuar login e ter direitos completos de sudo, incluindo root, o que é inaceitável, e já coberto pelo grupo sudoers e pela entrada. Como alternativa, quando faço isso:
%domain.local\service ALL=(service:service) NOPASSWD:ALL
... os membros não podem fazer o sudo para nenhum usuário. Quanto ao usuário do serviço, aqui está a entrada / etc / passwd para o usuário service :
service:x:1001:16777230::/opt/service:/bin/bash
Na Página Man do Sudoers , esta última entrada provavelmente deve funcionar, mas por alguma razão não funciona. Além disso, o %service provavelmente também deve abranger tanto a associação local quanto a AD, mas não parece. Quando eu crio este usuário, já que já existe um grupo no servidor de diretório chamado service , é como estou criando a conta de usuário service :
useradd -d /opt/service -g service service
Aqui está a saída de sudo -l para um membro do grupo:
[user.test@server ~]$ sudo -l
Matching Defaults entries for user.test on this host:
requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS
DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1
PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE
LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY
LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL
LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
User user.test may run the following commands on this host:
(service : service) NOPASSWD: /opt/service
O que eu sinto falta aqui?
Eu encontrei a solução. Precisamos definir o shell e o caminho de login para a entrada sudoers para a casa do usuário service da seguinte forma:
%domain.local\service ALL=(service) NOPASSWD:/bin/bash, /opt/service/*
Agora, podemos inserir o seguinte para se tornar o service user:
$ sudo -i -u service
$ whoami
service
$ pwd
/opt/service