我正在使用openSUSE 11.4,它内置了Yast的Active Directoryconfiguration(可以为你做所有的pam_winbind,Kerberos,nss,Samba-client等),并且可以成功地对我的AD域进行身份validation。
我创build了一个名为LinuxAdmins的AD组,我希望让该组中的人员能够在某些Linux服务器上不使用root密码或在使用自己的密码的计算机上使用sudo。
openSUSEconfigurationAD的方式是设置带有前缀域的用户名。 所以我的用户名是MYDOMAN \ djsumdog。 如果我尝试添加以下任一行到sudoers文件,我仍然不能sudo与我的用户。 我一直收到“MYDOMAIN \ djsumdog不在sudoers文件中,这个事件会被报告。 我已经尝试了用户名和组名的单斜杠和双斜线。
%MYDOMAIN\LinuxAdmins ALL=(ALL) ALL MYDOMAIN\djsumdog ALL=(ALL) ALL 我知道在我的Gentoo框中,/etc/pam.d/su中的以下行允许wheel组中的用户在没有密码的情况下su:
auth sufficient pam_wheel.so use_uid trust
但是,这似乎并没有在openSUSE(甚至与本地用户),AD用户less得多。 我也尝试使用pam_winbind.so模块:
#%PAM-1.0 auth sufficient pam_rootok.so auth include common-auth auth sufficient pam_winbind.so require_membership_of=MYDOMAIN\\LinuxAdmins account sufficient pam_rootok.so account include common-account password include common-password session include common-session session optional pam_xauth.so
但我不认为这将工作,因为require_membership_of参数似乎是针对整个机器的主要身份validation。
我知道与用户的密码sudo更安全,但我会很高兴,如果我可以得到su或sudo工作通过validation用户对他或她的AD组。
Per Hadyman5的评论,我跑了以下几点:
id MYDOMAIN\\djsumdog
…看到我的小组实际上是MYDOMAIN \ linuxadmins, 全部小写 。 然后我将以下内容添加到我的sudoconfiguration中:
%MYDOMAIN\\linuxadmins ALL=(ALL) ALL
现在sudo和这个组里的用户一起工作得很好。
使用方向来添加一个centos 7框到我的2012r2域位于这里 ,我能够添加到我的域名。 将AD组添加到sudoers中,我需要将组格式化为%GroupName@DOMAIN ALL=(ALL) ALL ,并且工作正常。