web-dev-qa-db-fra.com

Modifier le fichier Sudoers pour autoriser les droits Sudo sur un groupe de domaine AD

J'ai récemment réussi à connecter ma machine Ubuntu Server 18.04 à mon entreprise Windows AD. Je peux me connecter avec mes informations d'identification AD mais je veux aller plus loin ...

C'est l'article que j'ai suivi afin d'obtenir ma machine Ubuntu 18.04 sur le domaine Windows, notez que je n'ai fait aucune configuration sur la restriction de la connexion ssh à un groupe de domaine car je suis toujours en difficulté. https://www.smbadmin.com/2018/06/connecting-ubuntu-server-1804-to-active.html?showComment=1548915938955#c6716393705599388679

Toutefois....

Le but de ce que j'essaie de réaliser est le suivant:

  • Ajoutez une ligne au fichier/etc/sudoers qui spécifie un groupe AD au sein de mon organisation.
  • Les membres de ce groupe doivent avoir un accès Sudo sur les machines Linux de notre organisation.

Ce que j'ai fait:

  • J'ai essayé d'ajouter des lignes comme:
  • "nameofdomain\nameofgroup ALL = (ALL: ALL) ALL"
  • Et plus .... Cependant, chaque fois que j'essaie de Sudo avec un utilisateur que je connais est dans le groupe, je reçois l'habituel "... utilisateur pas dans sudoers ... l'incident sera signalé ..."

Quelle pourrait en être la raison? Est-ce peut-être dû aux configurations que j'ai spécifiées lors de la connexion de la machine au domaine AD?

Le chemin complet vers ce groupe est le suivant: - nom de domaine/Groupes/Elab/Elab-Level3

Voici la configuration de mes fichiers utilisés pour rejoindre le domaine AD:

krb5.conf

[libdefaults]
    default_realm = MYREALM
dns_lookup_kdc = true
dns_lookup_realm = true

...... reste du fichier ........

realmd.conf

[users]
 default-home = /home/%D/%U
 default-Shell = /bin/bash

[active-directory]
 default-client = sssd
 os-name = Ubuntu Server
 os-version = 18.04

[service]
 automatic-install = no

[mydomain]
 fully-qualified-names = yes
 automatic-id-mapping = no
 user-principal = yes
 manage-system = yes

sssd.conf

[sssd] 
domains = mydomain config_file_version = 2
services = nss, pam, ssh

[domain/mydomain]
ad_domain = mydomain
krb5_realm = MYDOMAIN
realmd_tags = manages-system joined-with-adcli 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_Shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
ldap_user_ssh_public_key = altSecurityIdentities

J'espère vraiment que quelqu'un ici a la réponse, j'ai cherché beaucoup de fils et je n'ai pas réussi à casser cet écrou

2
Hunter Lowe

Si le groupe se compose d'un seul mot, il devrait suffire d'ajouter l'enregistrement suivant au fichier/etc/sudoers:

%ActiveDirectoryUserGroup ALL=(ALL:ALL) ALL

Si le groupe contient des espaces, l'enregistrement devrait ressembler à ceci:

%Domain\ Users ALL=(ALL:ALL) ALL
%Domain\ Admins ALL=(ALL:ALL) NOPASSWD:ALL
%Linux\ Admins ALL=(ALL:ALL) NOPASSWD:ALL

Ici "Domaine\Utilisateurs", "Domaine\Administrateurs", "Linux\Administrateurs" est le nom du groupe dans Active Directory

3
Viktor
%MYDOMAIN\\domain\ admins  ALL=(ALL) ALL

LE NOM DE DOMAINE est une LETTRE SUPÉRIEURE, le nom du groupe est une lettre inférieure, le séparateur [\] et l'espace s'échappent par "\".

0
tak