Como adicionar administradores de domínio a sudoers

4

Existe uma pergunta semelhante que foi respondida; então, não tenho certeza se devo marcar; não acreditando que eu deveria, eu estou procedendo.

Estou executando o Ubuntu 14.04 e juntei-me ao domínio do Windows usando o PBIS (anteriormente do mesmo modo aberto). Eu posso obter privilégios sudo de uma conta de usuário individual, mas não consigo fazer com que os administradores de domínio sejam os mesmos. Eu tentei todas as variações de% DOMAIN \ domain ^ admins que vi até agora sem sucesso.

Agradecemos antecipadamente por qualquer assistência.

    
por Shawn a.k.a. abd al Shakur 25.04.2014 / 15:44

7 respostas

4

Isso também funcionou para mim:

%domain^admins ALL=(ALL:ALL) ALL

Suponho que isso se deva aos seguintes comandos usados ao configurar o PBIS:

sudo /opt/pbis/bin/config UserDomainPrefix $domain
sudo /opt/pbis/bin/config AssumeDefaultDomain true
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
sudo /opt/pbis/bin/config HomeDirTemplate %H/%U

Isso parece fazer com que as contas de domínio apareçam como contas locais no sistema, assumindo que o nome do domínio seja anterior à conta de login. Portanto, o nome de domínio não é exigido pela lista de sudoers.

Alguma opinião?

    
por Joseph 12.08.2014 / 23:47
3

Depende da sua configuração, às vezes ...

%domain\ admins ALL=(ALL) ALL

%domain\domain\ admins ALL=(ALL) ALL

%domain\ [email protected] ALL=(ALL) ALL

O último é o que eu realmente tive que usar para fazer o meu funcionar ... Estou usando sssd e realmd para entrar no meu domínio.

Muitas sugestões no passado mostraram o uso de domain ^ admins, mas isso nunca funcionou pessoalmente para mim, mas, de acordo com muitos posts, funcionou para outras pessoas. Ter a primeira palavra seguida por um \ indica que existe um espaço válido e depois não o lê como um caracter inválido. Espero que isso ajude.

    
por bman 10.01.2015 / 06:50
2

Aqui está outra maneira de fazer isso, sem precisar de toda a fantasia de escapar e também sem adivinhar o nome exato do grupo. Eu testei com winbind.

  1. Descobrir o nome do grupo:

    $ getent group | grep -i admin
    MYDOMAIN\Domain Admins:*:100006:
    
  2. Adicione o grupo que você vê acima ao arquivo sudoers. Podemos usar o diretório sudoers.d para evitar a alteração do arquivo principal dos sudoers (por exemplo, para evitar a mesclagem se o upgrade da distribuição alterá-lo).

    $ visudo -f /etc/sudoers.d/DomainAdmins
    # Add this line:
    "%MYDOMAIN\Domain Admins" ALL=(ALL) ALL
    

Na página sudoers(5) man:

% bl0ck_qu0te%     
por James Johnston 12.04.2016 / 16:54
0

Eu sei que esse segmento é extremamente antigo, mas pensei em compartilhar o que eu tinha que fazer para fazer isso no Ubuntu 18.04.1.

Como absolutamente nenhuma das entradas acima para o arquivo sudoers funcionou para mim, eu simplesmente criei um grupo de segurança no Active Directory chamado "sudo" e adicionei os administradores de domínio a ele.

Os usuários do Admin de domínio que fazem login no Ubuntu, em seguida, mostram como parte do grupo "sudo" no Ubuntu também, e são capazes de sudo comandos.

    
por dleemaas 26.09.2018 / 20:36
0

Consegui fazê-lo funcionar com o seguinte:

%domain^admins ALL=(ALL:ALL) ALL

(por exemplo, remover o domínio)

    
por Shawn a.k.a. abd al Shakur 05.08.2014 / 17:53
0

do termo

sudo EDITOR=nano visudo /etc/sudoers

na linha

depois da linha de raiz, adicione a linha abaixo

 username ALL=(ALL:ALL) ALL

ou para grupo:

# Members of the admin group may gain root privileges
%domain\domain^Users ALL=(ALL) ALL
    
por ahmed sami 14.07.2014 / 13:05
0

Eu sei que essa pergunta foi postada há muito tempo, mas resolvi isso fazendo

groups Mydomain\myuser

depois copiando o grupo admin que eu queria (escapando do single \ com outro)

    
por Sean 07.01.2016 / 19:12