AD그룹 SUDO 허용

tag-icon tag-icon fedora sudo domain active-directory sssd
AD그룹 SUDO 허용

Windows 2003 도메인에 일부 Fedora 20 워크스테이션을 추가할 예정입니다. 상자를 사용하여 도메인에 성공적으로 가입했으며 도메인 계정을 사용하여 로그인할 수 있습니다.

Enterprise Admins이제 기본 AD 그룹을 허용하려고 하는데 SUDO, 아무리 해도 그룹을 찾을 수 없는 것 같습니다(또는 적어도 내 사용자 계정이 sudoers 파일에 없다는 메시지가 나타납니다).

OU 구조(기본값):

  • 로컬 도메인 이름
    • 내장
    • 컴퓨터
    • DCOM-사용자
    • 도메인 컨트롤러
    • 외교안보실장
    • 회사 이름
      • 관리하다
      • 회계
      • 관리자
      • 시스템 계정
      • 고객 서비스
      • 창고
    • 사용자

도메인을 사용 realmdsssd가입하고 있으며 OU 아래에 있는 그룹에 sudo를 허용하려고 하지만 OU/하위 그룹의 일부 그룹 Users도 추가하고 싶습니다 .CompanyName --> Admins

나는 현재 이것을 시도하고 있지만 운이 없습니다 (/etc/sudoers에서)

%MYDOMAIN\\Enterprise^Admins ALL=(ALL) ALL

또한 다음과 같은 몇 가지 변형을 시도했습니다.

%MYDOMAIN\\Users\Enterprise^Admins ALL=(ALL) ALL
%Enterprise^[email protected] ALL=(ALL) ALL

잠깐...아무것도 작동하지 않는 것 같아요. 재부팅 후에도 및/또는 systemctrl restart sssd.

내 도메인 계정을 /etc/sudoers 파일에 명시적으로 추가하면 문제 없이 작동합니다.

[email protected] ALL=(ALL) ALL

sudoer에 AD 그룹을 추가하는 것이 가능해야 함을 나타내는 일부 리소스가 있지만 지금까지 그 중 아무 것도 효과가 없었습니다.

http://funwithlinux.net/2013/09/join-fedora-19-to-active-directory-domain-realmd/

https://serverfault.com/questions/387950/how-to-map-ad-domain-admins-group-to-ubuntu-admins

https://help.ubuntu.com/community/LikewiseOpen

답변1

문의하신 지 몇 달이 지났는데 정답은 그룹에서 모든 도메인 정보를 삭제한다는 것입니다. 모든 정보는 SSSD에 의해 자동으로 설정되고 추출됩니다.

일부 예제에서 내가 본 유일한 결함은 ^ 을 사용하여 공백을 탈출한다는 것입니다.

AD 그룹에는 Enterprise Adminssudoers로 시작하는 줄이 있습니다.

%Enterprise\ Admins

예를 들어 도메인이 이라면 example.comsudoers 줄은 다음과 같습니다.

%Enterprise\ [email protected] ALL=(ALL) ALL

그룹에서 getent를 호출하여 이를 확인할 수 있습니다.

getent group Enterprise\ Admins

답변2

winbind그리고 sssdNIS 넷그룹과 동일한 방법으로 AD 그룹을 가져옵니다. 따라서 파일의 그룹 정의는 대신 /etc/sudoers로 시작해야 합니다 . 또한 공백이 포함된 이름은 큰따옴표로 묶거나 각 공백을 로 지정해야 합니다 .+%\x20

%sudo              ALL = (ALL) ALL
+"domain users"    ALL = (ALL) ALL
+domain\x20admins  ALL = (ALL) NOPASSWD: ALL

답변3

PAM을 통해서든 로컬 sudoers 파일을 통해서든 visudo를 사용하여 sudo를 관리하는 경우 %GroupName.

sudo-ldap을 사용하는 경우 AD 그룹을 넷그룹으로 처리하고 사용하도록 구성해야 합니다 +NetGroupName. 저는 NFS 역할을 활성화하고 일반 AD 그룹과 쌍을 이루는 넷그룹을 생성하여 이 작업을 수행했습니다.

New-NfsNetgroup -NetGroupName MyNetGroup -AddMember MyMember

*MyMember는 FQDN이 아니라 호스트 이름일 뿐입니다.

또한 PAM 대신 sssd를 사용하고 있으므로 sss_cache -E새 넷그룹 이름을 얻으려면 캐시를 플러시해야 합니다.

확인하다:

getent netgroup MyNetGroup

넌 봐야 해:

MyNetGroup    (MyMember,-,-)

ADDC에서 NFS 공유를 활성화하지 않았고 Netgroup 네임스페이스에서 생성을 허용하도록 NFS 역할을 설치했습니다.

답변4

sudo가 AD Windows 그룹을 인식하지 못하는 것 같습니다.

관련 정보