Отредактируйте файл Sudoers для разрешения sudo прав группе домена AD

Question 1

Мне недавно удалось получить мой Сервер Ubuntu 18,04 машин, подключенных к моему Windows AD компаний. Я могу войти в систему со своими AD учетными данными однако, я хочу взять их шаг вперед...

Это - статья, за которой я следовал для получения моей машины Ubuntu 18.04 на домен окон, обратите внимание, что я не реализовывал, любая конфигурация при ограничении ssh входит в доменную группу, поскольку я все еще борюсь. https://www.smbadmin.com/2018/06/connecting-ubuntu-server-1804-to-active.html? showComment=1548915938955#c6716393705599388679

Однако....

Цель того, чего я пытаюсь достигнуть, следующие:

Добавьте строку к/etc/sudoers файлу, который указывает AD группу в моей организации.
Это группируется, у участников должен быть sudo доступ на машинах Linux в нашей организации.

Что я сделал:

Я пытался добавить строки как:
"nameofdomain\nameofgroup ВСЕ = (ALL:ALL) ВСЕ"
И больше.... Однако каждый раз, когда я пробую к sudo пользователем, я знаю, находится в группе, я получаю обычное "... пользователь не в sudoers... об инциденте сообщат..."

Какова могла быть причина этого? Это происходит, возможно, из-за конфигураций, которые я указал при подключении машины с доменом AD?

Полный путь этой группе следующие: - domainname/Groups/Elab/Elab-Level3

Вот конфигурация для моих файлов, используемых для присоединения к домену AD:

krb5.conf

[libdefaults]
    default_realm = MYREALM
dns_lookup_kdc = true
dns_lookup_realm = true

...... отдых файла........

realmd.conf

[users]
 default-home = /home/%D/%U
 default-shell = /bin/bash

[active-directory]
 default-client = sssd
 os-name = Ubuntu Server
 os-version = 18.04

[service]
 automatic-install = no

[mydomain]
 fully-qualified-names = yes
 automatic-id-mapping = no
 user-principal = yes
 manage-system = yes

sssd.conf

[sssd] 
domains = mydomain config_file_version = 2
services = nss, pam, ssh

[domain/mydomain]
ad_domain = mydomain
krb5_realm = MYDOMAIN
realmd_tags = manages-system joined-with-adcli 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
ldap_user_ssh_public_key = altSecurityIdentities

Я действительно надеюсь, что у кого-то здесь есть ответ, я искал много много потоков и не смог взломать эту гайку

Question 2

Если группа состоит из отдельного слова затем, должно быть достаточно добавить следующую запись на/etc/sudoers файл:

%ActiveDirectoryUserGroup ALL=(ALL:ALL) ALL

Если группа содержит пробелы, затем записывают, должен быть похожим:

%Domain\ Users ALL=(ALL:ALL) ALL
%Domain\ Admins ALL=(ALL:ALL) NOPASSWD:ALL
%Linux\ Admins ALL=(ALL:ALL) NOPASSWD:ALL

Здесь "Пользователи Domain\", "Администраторы Domain\", "Администраторы Linux\" название группы в Active Directory

Question 3

Question 4

%MYDOMAIN\\domain\ admins  ALL=(ALL) ALL

ДОМЕННЫМ ИМЕНЕМ является ВЕРХНЯЯ БУКВА, название группы является более низкой буквой, Разделитель [\] и Пространство является Escape '\'.

Viktor · Accepted Answer · 2 December 2019 в 02:41