从命令行将 AD 域用户添加到 sudoers

从命令行将 AD 域用户添加到 sudoers

我正在设置一个 Ubuntu 11.04 服务器虚拟机,用作数据库服务器。如果我们可以让人们使用 Windows 凭据登录,甚至可以让机器与我们在其他地方获得的当前 AD 驱动安全性一起工作,那么每个人的生活都会变得更轻松。

第一步真的很容易完成——apt-get install likewise-open而且我基本上已经做好了准备。我遇到的问题是将我们的管理员纳入 sudoers 组——我似乎无法采取任何措施。我试过:

a) usermod -aG sudoers [username]
b) 将几种格式的用户名(DOMAIN\user、user@domain)添加到 sudoers 文件中。

这些似乎都不起作用,我仍然被告知“DOMAIN\user 不在 sudoers 文件中。此事件将被报告。”

那么,如何将非本地用户添加到 sudoers?

答案1

我遇到了这个问题,这是我的解决方案:

编辑/etc/sudoers:包含以下条目

首先使用命令 id 检查 aduser

#id <AD user>( #id domain\\aduser01 )

我的结果:

SMB\aduser01@linux01:~/Desktop$ id smb\\aduser02
uid=914883676(SMB\aduser02) gid=914883073(SMB\domain^users) groups=914883073(SMB\domain^users),1544(BUILTIN\Administrators),1545(BUILTIN\Users),914883072(SMB\domain^admins)

getent passwd对我不起作用gid NUMBERSDOMAIN\\domain^users对我有用

%SMB\\domain^users ALL=(ALL) ALL

众所周知,个人 AD 用户也可以工作

SMB\\<aduser01> ALL=(ALL) ALL

答案2

我们有一个带有 .local 后缀的长域名,

更近一点

%domainname\\group ALL=(ALL) ALL

也不是

%domainname.local\\group ALL=(ALL) ALL

工作了……

但如果我只使用这样的组名:

%Domain^Admins ALL=(ALL) ALL

有用。

答案3

我使用常用​​命令

sudo usermod -a -G sudo DOMAIN\username 

并替换DOMAIN\userDOMAIN\\\username

答案4

关于这个主题我能找到的最佳信息在这里:

http://www.mail-archive.com/[电子邮件保护]/msg00572.html

它基本上要求您使用正确的配置修改/etc/sudoers文件,以允许 AD 上管理员组中的人员访问所有权限。

getend passwd如果您需要根据用户进行选择和限制,您也可以这样做。但它警告您必须确保使用如下所示的命令找出 Linux 系统上的用户名。

相关内容