web-dev-qa-db-fra.com

Comment ajouter des administrateurs de domaine à des sudoers

Il y a une question similaire à laquelle on a répondu; alors, je ne suis pas sûr de devoir taguer dessus; ne croyant pas que je devrais, je procède.

J'utilise Ubuntu 14.04 et j'ai rejoint notre domaine Windows avec PBIS (anciennement pareillement ouvert). Je peux obtenir les privilèges Sudo d'un compte utilisateur individuel, mais je ne peux pas obtenir les mêmes administrateurs de domaine. J'ai essayé toutes les variantes de% DOMAIN\domain ^ administrateurs que j'ai vues jusqu'à présent sans succès.

Merci d'avance pour toute aide.

Cela a également fonctionné pour moi:

%domain^admins ALL=(ALL:ALL) ALL

Je suppose que cela est dû aux commandes suivantes utilisées lors de la configuration de PBIS:

Sudo /opt/pbis/bin/config UserDomainPrefix $domain
Sudo /opt/pbis/bin/config AssumeDefaultDomain true
Sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
Sudo /opt/pbis/bin/config HomeDirTemplate %H/%U

Cela semble faire en sorte que les comptes de domaine apparaissent en tant que comptes locaux sur le système en supposant que le nom de domaine se trouve avant le compte de connexion. Par conséquent, le nom de domaine n'est pas requis par la liste des sudoers.

Des pensées?

5
Joseph

Voici une autre façon de le faire, sans avoir besoin de toutes les fantaisies et aussi sans deviner le nom exact du groupe. J'ai testé avec Winbind.

  1. Déterminez le nom du groupe:

    $ getent group | grep -i admin
    MYDOMAIN\Domain Admins:*:100006:
    
  2. Ajoutez le groupe que vous voyez ci-dessus au fichier sudoers. Nous pouvons utiliser le répertoire sudoers.d pour éviter de modifier le fichier sudoers principal (par exemple, pour éviter la fusion si la mise à niveau de la distribution le modifie).

    $ visudo -f /etc/sudoers.d/DomainAdmins
    # Add this line:
    "%MYDOMAIN\Domain Admins" ALL=(ALL) ALL
    

De la page de manuel sudoers(5):

Un nom d'utilisateur, uid, groupe, gid, réseau, nonunix_group ou nonunix_gid peut être placé entre guillemets afin d'éviter d'avoir à échapper des caractères spéciaux.

4
James Johnston

Cela dépend parfois de votre configuration ...

%domain\ admins ALL=(ALL) ALL

%domain\\domain\ admins ALL=(ALL) ALL

%domain\ [email protected] ALL=(ALL) ALL

Le dernier est celui que j'ai dû utiliser pour que le mien fonctionne ... J'utilise sssd et realmd pour rejoindre mon domaine.

Beaucoup de suggestions dans le passé ont montré l’utilisation d’administrateurs de domaine, mais cela n’a jamais fonctionné personnellement pour moi, mais selon de nombreux posts, cela a fonctionné pour d’autres. Avoir le premier mot suivi d'un\indique qu'il y a un espace valide et ne le lit pas comme un caractère invalide. J'espère que ça aide.

3
bman

J'ai beaucoup travaillé dessus, et après tant d'essais et de recherches ça marche

%domain\ admins ALL=(ALL) ALL

Depuis que j'avais le nom de domaine en deux mots, je dois utiliser: domain\ admins

domain admins

C'était le nom exact du groupe que j'avais.

Et % pour spécifier le groupe. Et sans %, je penserais que c'est pris comme nom d'utilisateur.

0
Rajat jain

J'ai pu le faire fonctionner avec les éléments suivants:

%domain^admins ALL=(ALL:ALL) ALL

(c'est-à-dire supprimer le domaine)

Je sais que cette question a été postée il y a très longtemps, mais j'ai résolu ce problème en faisant un

groups Mydomain\\myuser

puis en copiant le groupe d'administrateurs que je voulais (en évitant le single\avec un autre)

0
Sean

Je sais que ce fil est extrêmement ancien, mais je pensais partager ce que je devais faire pour que cela se fasse dans Ubuntu 18.04.1.

Puisqu'aucune des entrées ci-dessus pour le fichier sudoers ne fonctionnait pour moi, j'ai simplement créé un groupe de sécurité dans Active Directory appelé "Sudo" et y ai ajouté les administrateurs de domaine.

Les utilisateurs d’administrateur de domaine qui se connectent à Ubuntu s’affichent également dans le groupe "Sudo" d’Ubuntu, et peuvent exécuter des commandes Sudo.

0
dleemaas

de terme

Sudo EDITOR=nano visudo /etc/sudoers

sous ligne

après la ligne racine, ajoutez la ligne ci-dessous

 username ALL=(ALL:ALL) ALL

ou pour groupe:

# Members of the admin group may gain root privileges
%domain\\domain^Users ALL=(ALL) ALL
0
ahmed sami