.png)
LDAP sudoers 규칙이 작동하도록 하는 데 문제가 있습니다. 내 환경은 다음과 같습니다
- Windows Server 2012 R2의 Active Directory
- 우분투 16.04.2
- SSSD 1.13.4-1ubuntu1.5
- sudo 1.8.20-3(게시 당시 최신, LDAP 및 비LDAP 버전 시도)
나는 팔로우한다이 지침sudo_debug.log 생성(정리됨):
Jun 19 14:53:28 sudo[60452] Received 2 rule(s)
Jun 19 14:53:28 sudo[60452] -> sudo_sss_filter_result @ ./sssd.c:225
...
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoHost 'ALL' ... MATCH!
...
Jun 19 14:53:28 sudo[60452] val[0]=%linuxadmins
...
Jun 19 14:53:28 sudo[60452] sudo_get_grlist: looking up group names for [email protected]
...
Jun 19 14:53:28 sudo[60452] sudo_getgrgid: gid 1157000513 [] -> group domain [email protected] [] (cache hit)
...
Jun 19 14:53:28 sudo[60452] user_in_group: user [email protected] NOT in group linuxadmins
Jun 19 14:53:28 sudo[60452] <- user_in_group @ ./pwutil.c:1031 := false
Jun 19 14:53:28 sudo[60452] user [email protected] matches group linuxadmins: false @ usergr_matches() ./match.c:969
Jun 19 14:53:28 sudo[60452] <- usergr_matches @ ./match.c:970 := false
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoUser '%linuxadmins' ... not ([email protected])
...
이 로그에서 다음을 확인할 수 있습니다.
- sudoers 규칙은 AD에서 sudo를 가져옵니다(2개의 규칙, 표시된 규칙은 AD 항목과 일치함).
linuxadmins그룹 내 일치 실패
그러나 사용자는 linuxadmins그룹에 속해 있습니다(정리되었지만 "사용자"가 일치함).
$ getent group linuxadmins
[email protected]:*:1157001133:[email protected],[email protected]
이 로그의 유일한 이상한 점은 sudo_get_grlist사용자의 기본 그룹만 반환하는 것 같다는 것입니다. 이것은 경쟁이 없는 이유를 설명합니다.domain [email protected]
이거 본 사람 있어? 그룹 목록이 sudo(내 질문을 계속 기다려야 하는 곳 sudo-users) 또는 다른 곳(SSSD와 같은)(목록을 찾아야 하는 곳) 내에서 해결되는지 아시나요 ?
답변1
네, 주요 그룹이 부족한 것이 문제일 수 있습니다. 작동한다는 사실은 getent group중요하지 sudo않습니다. initgroups 출력을 사용하면 id.
그리고 당신은 또한 sssd-users가 최고라고 생각합니다:https://lists.fedorahosted.org/admin/lists/sssd-users.lists.fedorahosted.org/
얼마 전에는 문제 해결 가이드도 수정했습니다.https://pagure.io/docs/SSSD/sssd/, 직접 링크는 다음과 같습니다.https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html
답변2
CentOS 7에서는 다음과 같은 기본 그룹만 표시하는 동일한 ID 문제가 있었습니다.
id DOMAIN\\administrator
uid=485400500(administrator) gid=485400513(domain users) groups=485400513(domain users)
나는 이 참고자료를 읽고 있다(관련된)내 것을 편집하고 /etc/sssd/sssd.conf몇 가지 권장 구성 옵션이 누락되었음을 깨달았습니다. 이전에는 다음만 가지고 있었습니다.
[domain/AD.DOMAIN]
id_provider = ad
그래서 참조에서 언급된 다른 플래그를 아래에 추가했습니다.
auth_provider = ad
chpass_provider = ad
access_provider = ad
불행하게도 이들 중 어느 쪽이 이러한 개선에 책임이 있는지는 알 수 없지만, 추측해야 한다면 그것은 그것이었을 것입니다 auth_provider = ad. 이제 id다음과 같은 결과를 얻었습니다.
id DOMAIN\\administrator
uid=485400500(administrator) gid=485400513(domain users)
groups=485400513(domain users),485400518(schema admins),485400519(enterprise
admins),485400512(domain admins),485403117(sudoers),485400520(group policy
creator owners),485400572(denied rodc password replication
group),485401624(esx admins),485401679(wseremotewebaccessusers),
485401680(wseallowshareaccess),485401681(wseallowcomputeraccess),
485401682(wseallowmediaaccess),485401683(wseallowadd inaccess),485401684(wseallowdashboardaccess),
485401685(wseallowhomepagelinks),45401686(wsealertadministrators),
485401687(wseremoteaccessusers),485403103(ipamad mins)