Permitir que grupos AD sejam SUDO

6

Estou adicionando algumas estações de trabalho do Fedora 20 ao nosso domínio do Windows 2003. Eu entrei com sucesso no domínio com as caixas e posso fazer login com contas de domínio.

Agora estou tentando permitir que o grupo AD padrão Enterprise Admins use SUDO , mas, seja lá o que eu fizer, parece que o grupo não pode ser encontrado (ou pelo menos me diz que minha conta de usuário não está arquivo sudoers)

Estrutura da UO (padrão, na verdade):

  • mydomain.local
    • Criando
    • Computadores
    • Usuários do DCOM
    • Controladores de DOmain
    • ForeignSecurityPrincipals
    • CompanyName
      • Gerenciamento
      • Contabilidade
      • Administradores
      • SysAccounts
      • CustomerService
      • Armazém
    • Usuários

Eu usei realmd e sssd para ingressar no domínio e estou tentando permitir o sudo para grupos localizados na Users OU, mas também gostaria de adicionar alguns do CompanyName --> Admins OU / Subgrupo também.

Atualmente estou tentando isso sem sorte (em / etc / sudoers)

%MYDOMAIN\Enterprise^Admins ALL=(ALL) ALL

Eu também tentei variações, como:

%MYDOMAIN\Users\Enterprise^Admins ALL=(ALL) ALL
%Enterprise^[email protected] ALL=(ALL) ALL

etc ... nada parece estar funcionando. Mesmo depois de reinicializações e / ou systemctrl restart sssd .

Se eu adicionar explicitamente minha conta de domínio ao arquivo / etc / sudoers, isso não funcionará.

[email protected] ALL=(ALL) ALL

Existem alguns recursos que parecem indicar que deve ser possível adicionar grupos AD aos sudoers, mas até agora nenhum deles funcionou para mim:

link

link

link

    
por SnakeDoc 16.08.2014 / 00:54

4 respostas

6

Vários meses depois de você ter perguntado, mas a resposta correta é que você remove todas as informações de domínio do grupo. Todas as informações são definidas e extraídas pelo SSSD automaticamente.

A única falha que vejo em alguns dos seus exemplos é que você escapou do espaço com um ^.

Um grupo do AD de Enterprise Admins teria uma linha de sudoers que começa com

%Enterprise\ Admins

Por exemplo, se seu domínio for example.com , a linha de sudoers será

%Enterprise\ [email protected] ALL=(ALL) ALL

Você pode verificar isso procurando chamar getent no grupo.

getent group Enterprise\ Admins

    
por 22.06.2015 / 19:01
2

winbind e sssd importam os grupos do AD de maneira equivalente aos netgroups do NIS. Portanto, as definições do seu grupo no arquivo /etc/sudoers precisam começar com + e não % . Além disso, os nomes que contêm espaços devem ter aspas duplas ou cada espaço especificado como \x20 .

%sudo              ALL = (ALL) ALL
+"domain users"    ALL = (ALL) ALL
+domain\x20admins  ALL = (ALL) NOPASSWD: ALL
    
por 22.06.2015 / 19:27
0

Se você gerencia o sudo com o visudo, seja via PAM ou apenas o arquivo sudoers local, use %GroupName .

Se você usa o sudo-ldap, você precisa configurar seus grupos do AD para serem vistos como netgroups e usar +NetGroupName . Eu faço isso habilitando a função NFS e criando netgroups que acompanham meus grupos regulares de AD:

New-NfsNetgroup -NetGroupName MyNetGroup -AddMember MyMember

* note que MyMember não é fqdn, apenas hostname

Eu também uso o sssd ao invés do PAM, então você precisa limpar o cache com sss_cache -E para obter novos nomes de grupos de rede.

Verifique com:

getent netgroup MyNetGroup

Deverá ver:

MyNetGroup    (MyMember,-,-)

NÃO estou habilitando compartilhamentos NFS no ADDC, mas a função NFS permite a criação em namespaces do Netgroup.

    
por 10.04.2017 / 18:28
-3

Eu não acho que o sudo reconheça os grupos de janelas do AD.

    
por 16.08.2014 / 04:16