Estoy configurando una máquina virtual de servidor Ubuntu 11.04 para usar como servidor de base de datos. Facilitaría la vida de todos si pudiéramos hacer que la gente inicie sesión con las credenciales de Windows y tal vez incluso hacer que la máquina funcione con la seguridad actual basada en AD que tenemos en otros lugares.
La primera etapa de esto fue realmente fácil de lograr, apt-get install likewise-open
y yo estaba prácticamente en el negocio. El problema que estoy teniendo es que nuestros administradores entren en los grupos de sudoers; parece que no puedo obtener nada para llevar. He intentado:
a) usermod -aG sudoers [username]
b) agregar los nombres de usuario en varios formatos (DOMINIO \ usuario, usuario @ dominio) al archivo sudoers.
Ninguno de los cuales pareció tomar, todavía me dicen "DOMINIO \ usuario no está en el archivo sudoers. Este incidente será reportado".
Entonces, ¿cómo agrego usuarios no locales a los sudoers?
fuente
%Domain^Admins ALL=(ALL) ALL
El problema con las otras sugerencias es que
En cambio, quería algo que
La solución real es usar SSSD y extender el esquema AD. De esta forma, SSSD obtiene periódicamente configuraciones de sudo y credenciales de usuario de AD y mantiene una memoria caché local de ellas. Las reglas de sudo se almacenan en objetos AD, donde puede restringir las reglas a computadoras, usuarios y comandos, incluso, todo eso sin siquiera tocar un archivo de sudoers en las estaciones de trabajo.
El tutorial exacto es demasiado largo para explicarlo aquí, pero puede encontrar la guía paso a paso y algunos scripts para ayudar con la automatización aquí:
TL; DR:
ANUNCIO
Obtenga la última versión de sudo , obtenga el archivo doc / schema.ActiveDirectory , luego impórtelo (asegúrese de modificar la ruta del dominio de acuerdo con su nombre de dominio):
Verifíquelo con ADSI Edit: abra el contexto de nomenclatura de Schema y busque la clase sudoRole .
Ahora cree la unidad organizativa sudoers en la raíz de su dominio, esta unidad organizativa contendrá todas las configuraciones de sudo para todas sus estaciones de trabajo Linux. Debajo de esta unidad organizativa, cree un objeto sudoRole. Para crear el objeto sudoRole, debe usar ADSI Edit, pero una vez creado, puede usar Usuarios y equipos de Active Directory para modificarlo.
Supongamos que tengo una computadora llamada foo32linux , un usuario llamado stewie.griffin y quiero permitirle ejecutar todos los comandos con sudo en esa comp. En este caso, creo un objeto sudoRole debajo de la unidad organizativa sudoers . Para el sudoRole puede usar el nombre que desee: me quedo con el nombre de la computadora ya que uso las reglas por computadora. Ahora establezca sus atributos de la siguiente manera:
Para los comandos, también puede utilizar entradas específicas, como / bin / less o lo que sea.
SSSD
Agregue a su /etc/sssd/sssd.conf , al menos:
SSSD actualiza su caché local con las reglas actualizadas cada pocas horas, pero la forma más sencilla de probarlo es simplemente reiniciar la computadora. Luego inicie sesión con el usuario de AD y verifique:
Debería enumerar todas las entradas relacionadas que agregó a ese usuario y computadora. ¡Pan comido!
fuente
La mejor información que pude encontrar sobre el tema está aquí:
http://www.mail-archive.com/[email protected]/msg00572.html
Básicamente, le pide que modifique su
/etc/sudoers
archivo con la configuración correcta para permitir que las personas en el grupo de su administrador en AD tengan acceso a todos los privilegios.Si necesita ser selectivo y restringido por el usuario, también puede hacerlo. Pero advierte que debe asegurarse de averiguar cuál es el nombre del usuario en el sistema Linux mediante el
getend passwd
comando como se muestra.fuente
Usando Centify Direct , he agregado un usuario de dominio al archivo / etc / sudoers.
(Usuario de dominio) TODOS = (TODOS) TODOS
fuente
Yo uso el comando común
y reemplazar
DOMAIN\user
conDOMAIN\\\username
.fuente