Comandos do Linux para incluir um grupo do Active Directory no arquivo Sudoers

2

O que é o comando Linux (Red Hat) para adicionar um grupo do Active Directory (AD) no arquivo sudoers para restringir o acesso do administrador local aos membros do grupo?

Por exemplo, eu tenho um grupo AD linux-admin e gostaria de adicionar esta linha

%test.com\linux-admin ALL=(ALL) ALL
    
por tset 21.09.2016 / 02:49

1 resposta

4

Nota: Mexer com o arquivo sudoers tem algum risco. Antes de começar, as coisas em que pensar incluem:

  • Backups do sistema

  • Um shell de raiz física (em uma raiz de ambiente ssh adequadamente configurada deve ser desalisada do login em um sistema por ssh)

  • Familiaridade com a inicialização de um CD ao vivo para "consertar" o que quer que esteja quebrado

Supondo que você já tenha a integração AD,

groups

listará todos os grupos que um usuário possui, isso é importante para que você obtenha a caixa adequada para o nome do grupo.

pegue isso e adicione-o ao arquivo /etc/sudoers . Eu uso nano e adiciono uma dessas linhas na parte inferior do arquivo.

%domain\groupname ALL=(ALL) ALL

ou

%groupname ALL=(ALL) ALL

Um domínio pode ou não ser necessário. Essa é uma função de outras decisões na configuração da integração de autenticação do AD. Se usuários autenticados da AD forem despejados em /home/<DOMAIN>/<username> , você provavelmente precisará do mesmo nome exato de DOMAIN no arquivo sudoers .

Para automatizar isso a partir de um script, chame

echo "%groupname ALL=(ALL)ALL" >> /etc/sudoers

    
por 21.09.2016 / 04:41