带 AD 和 SSSD 的 LDAP Sudoers（仅返回主要组）

Question 1

是的，缺乏主要群体可能是问题所在。有效的事实getent group是无关紧要的，sudo使用 initgroups 输出，这或多或少是你调用时得到的id。

而且您也认为 sssd-users 是最好的：https://lists.fedorahosted.org/admin/lists/sssd-users.lists.fedorahosted.org/

不久前我们甚至修复了我们的故障排除指南：https://pagure.io/docs/SSSD/sssd/，直接链接是https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html

Answer

是的，缺乏主要群体可能是问题所在。有效的事实getent group是无关紧要的，sudo使用 initgroups 输出，这或多或少是你调用时得到的id。

而且您也认为 sssd-users 是最好的：https://lists.fedorahosted.org/admin/lists/sssd-users.lists.fedorahosted.org/

不久前我们甚至修复了我们的故障排除指南：https://pagure.io/docs/SSSD/sssd/，直接链接是https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html

Question 2

在 CentOS 7 中，我遇到了同样的 id 问题，仅显示主要组，例如：

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) groups=485400513(domain users)

我正在读这篇参考资料（关联）并编辑我的/etc/sssd/sssd.conf，并意识到我缺少一些推荐的配置选项。之前，我只有：

[domain/AD.DOMAIN]
id_provider = ad

所以我在其下面添加了参考文献中提到的其他标志：

auth_provider = ad
chpass_provider = ad
access_provider = ad

不幸的是，我不知道他们中的哪一个负责这一改进，但如果我不得不猜测的话，那就是auth_provider = ad。现在id有这样的结果：

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) 
groups=485400513(domain users),485400518(schema admins),485400519(enterprise 
admins),485400512(domain admins),485403117(sudoers),485400520(group policy 
creator owners),485400572(denied rodc password replication 
group),485401624(esx admins),485401679(wseremotewebaccessusers), 
485401680(wseallowshareaccess),485401681(wseallowcomputeraccess),
485401682(wseallowmediaaccess),485401683(wseallowadd inaccess),485401684(wseallowdashboardaccess),
485401685(wseallowhomepagelinks),45401686(wsealertadministrators),
485401687(wseremoteaccessusers),485403103(ipamad mins)

Answer

在 CentOS 7 中，我遇到了同样的 id 问题，仅显示主要组，例如：

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) groups=485400513(domain users)

我正在读这篇参考资料（关联）并编辑我的/etc/sssd/sssd.conf，并意识到我缺少一些推荐的配置选项。之前，我只有：

[domain/AD.DOMAIN]
id_provider = ad

所以我在其下面添加了参考文献中提到的其他标志：

auth_provider = ad
chpass_provider = ad
access_provider = ad

不幸的是，我不知道他们中的哪一个负责这一改进，但如果我不得不猜测的话，那就是auth_provider = ad。现在id有这样的结果：

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) 
groups=485400513(domain users),485400518(schema admins),485400519(enterprise 
admins),485400512(domain admins),485403117(sudoers),485400520(group policy 
creator owners),485400572(denied rodc password replication 
group),485401624(esx admins),485401679(wseremotewebaccessusers), 
485401680(wseallowshareaccess),485401681(wseallowcomputeraccess),
485401682(wseallowmediaaccess),485401683(wseallowadd inaccess),485401684(wseallowdashboardaccess),
485401685(wseallowhomepagelinks),45401686(wsealertadministrators),
485401687(wseremoteaccessusers),485403103(ipamad mins)

带 AD 和 SSSD 的 LDAP Sudoers（仅返回主要组）

答案1

答案2

相关内容