LDAP sudoersルールが機能するのに問題があります。私の環境は次のとおりです
- Windows Server 2012 R2のActive Directory
- Ubuntu 16.04.2
- SSSD 1.13.4-1ubuntu1.5
- sudo 1.8.20-3(公開時点で最新、LDAP、および非LDAPバージョンを試す)
フォローするこのガイドラインsudo_debug.log生成(クリーンアップ):
Jun 19 14:53:28 sudo[60452] Received 2 rule(s)
Jun 19 14:53:28 sudo[60452] -> sudo_sss_filter_result @ ./sssd.c:225
...
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoHost 'ALL' ... MATCH!
...
Jun 19 14:53:28 sudo[60452] val[0]=%linuxadmins
...
Jun 19 14:53:28 sudo[60452] sudo_get_grlist: looking up group names for [email protected]
...
Jun 19 14:53:28 sudo[60452] sudo_getgrgid: gid 1157000513 [] -> group domain [email protected] [] (cache hit)
...
Jun 19 14:53:28 sudo[60452] user_in_group: user [email protected] NOT in group linuxadmins
Jun 19 14:53:28 sudo[60452] <- user_in_group @ ./pwutil.c:1031 := false
Jun 19 14:53:28 sudo[60452] user [email protected] matches group linuxadmins: false @ usergr_matches() ./match.c:969
Jun 19 14:53:28 sudo[60452] <- usergr_matches @ ./match.c:970 := false
Jun 19 14:53:28 sudo[60452] sssd/ldap sudoUser '%linuxadmins' ... not ([email protected])
...
このログで次のことを確認できます。
- sudoersルールはADからsudoを取得します(2つのルール、表示されているルールはADエントリと一致します)。
linuxadminsグループ内の一致に失敗しました
ただし、ユーザーはlinuxadminsグループに属しています(クリーンアップされていますが、「ユーザー」は一致しています)。
$ getent group linuxadmins
[email protected]:*:1157001133:[email protected],[email protected]
このログの唯一の奇妙なことは、sudo_get_grlistユーザーのデフォルトグループのみを返すようです。これは競争がない理由を説明します。domain [email protected]
これ見た人いますか?グループリストがsudo(私の質問を待つ必要がある場所sudo-users)または他の場所(SSSDなど)(リストを見つける必要がある場所)内で解決されるかどうかをご存知ですか?
ベストアンサー1
はい、主要なグループが不足しているのは問題かもしれません。動作するという事実はgetent group重要ではありsudoません。 initgroups出力を使用するとid。
そして、あなたもsssd-usersが最高だと思います:https://lists.fedorahosted.org/admin/lists/sssd-users.lists.fedorahosted.org/
しばらく前に、トラブルシューティングガイドも修正しました。https://pagure.io/docs/SSSD/sssd/、直接リンクは次のとおりです。https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html