我已加入域并成功设置组登录,但无法让 sudo 为该组的成员工作。%DOMAIN\\domain-group ALL=(ALL) ALLin/etc/sudoers不起作用——用户不被视为在 sudoers 中。我认为这与 Ubuntu 解释 AD 组的方式有关,因为:
- AD 组设置与其他工作组相同,并且
domain-group适用于 RHEL 服务器。 /etc/sssd/sssd.conf也与工作的 RHEL 服务器相同。- 域用户主目录等被分配给
domain users组,就像在工作的 RHEL 服务器上一样。 - 我可以通过 向单个域用户授予 sudo 访问权限
/etc/sudoers,但不能向组授予 sudo 访问权限。 - 以域用户身份登录会出现警告
groups: cannot find name for group ID 16720351。当域用户运行时id,domain-group与 16745417 关联,而不是与此 gID 关联。 domain-group不在 中/etc/group,但是当我尝试使用groupadd domain-group手动添加组时,出现错误groupadd: group 'domain-group' already exists。
所以有什么问题?是否有我需要翻转的 Ubuntu 专用开关或其他东西?
答案1
我没有在 Ubuntu 上这样做,所以我不知道那里是否有什么特别的,但在 CentOS 中我不必在 sudoers 中指定域,所以我使用的语法是:
%domain_group ALL=(ALL) NOPASSWD: ALL
含有空格的组必须逃离该空格
%Linux\ Admins ALL=(ALL) NOPASSWD: ALL