Sudoers-Datei ermöglicht Sudo für eine bestimmte Datei für eine Active Directory-Gruppe

7

Ich habe Active Directory-Anmeldung bei der Arbeit an einer Ubuntu 12.04-Box. Wenn sich der Benutzer anmeldet, wird ein Skript ausgeführt, das eine Sudo-Berechtigung benötigt (da es die Samba-Konfigurationsdatei ändert). Wie würde ich dies in meiner sudoersDatei angeben ?

Der Active Directory-Benutzer ist Teil einer Gruppe namens domain users. Ich sehe, domain userswenn ich groupsals Active Directory-Benutzer ausstelle .

Ich habe es versucht:

%domain+users ALL=NOPASSWD: /etc/userScripts/createSambaShare.php

Dies fragt mich immer noch nach einem Passwort und sagt mir dann, dass der Benutzer nicht in der sudoersDatei ist.

Gibt es ein Protokoll, in dem ich überprüfen kann, was es tut, wenn der Active Directory-Benutzer nach seinem Kennwort gefragt wird?

active-directory  ubuntu-12.04  sudo 
tubaguy50035
quelle

Antworten:

4

Es sieht so aus, als würden Sie anstelle des Leerzeichens ein Pluszeichen verwenden Domain Users. Ich sehe keinen Grund, warum das funktionieren würde.

Entfliehen Sie stattdessen dem Leerzeichen mit einem Backslash:

 %Domain\ Users ALL=NOPASSWD: /etc/userScripts/createSambaShare.php

Wenn dies nicht funktioniert, verwenden Sie einen Alias:

 User_Alias DomainUsers=%Domain\ Users
 DomainUsers ALL=NOPASSWD: /etc/userScripts/createSambaShare.php

Denken Sie auch daran, dass bei so ziemlich allem in Linux zwischen Groß- und Kleinschreibung unterschieden wird, einschließlich Benutzer- und Gruppennamen. Zeigt sich die Gruppe wirklich als domain usersoder als Domain Users? Es muss passen.

Skyhawk
quelle
Es ist als aufgeführt domain usersund ich denke, ich dachte, das war der Grund für winbind separator = +meine Samba-Konfiguration. Jetzt testen.
tubaguy50035
1
Backslash macht den Trick!
tubaguy50035
3

Warum setzen Sie nicht einfach die UNIX-Gruppe ein /etc/sudoersund stellen dann sicher, dass alle zu dieser Gruppe in AD hinzugefügt werden?

Michael Hampton
quelle
Du meinst so etwas tun %Programmers ALL=NOPASSWD: /usr/local/bin/createSambaShare.php?
tubaguy50035
Das scheint vernünftig genug.
Michael Hampton
Ich habe das gemacht. Mein AD-Benutzer ist Teil der Gruppe "Programmierer" im Active Directory. Es sieht so aus, als ob meine Firma es so eingerichtet hat, dass der AD Domain Services-Ordner für die Gruppe lautet Domain.com/Staff/Security Groups. Wird meine Gruppe dann unter Linux %DOMAIN.COM/Staff/Security+Groups/Programmers?
tubaguy50035
Sie haben die Gruppe in UNIX-Attributen eingerichtet, richtig?
Michael Hampton
Ich würde nicht annehmen. Ich habe unseren Systemadministrator nach dem Unix-Tab für jeden Benutzer gefragt und er sagte, er habe keinen Unix-Tab gesehen, daher verweise ich ihn auf meinen Link zu meiner anderen Frage.
tubaguy50035
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.