私のサーバーはADドメインに参加しており、SSSDとゾーンを使用してこれを行います。 SSHとADの資格情報を使用してサーバーに正しくログインできます。私のユーザーがsudoを実行できるようにしたいので、うまく%MY_AD_GROUP ALL=(ALL) ALLいき/etc/sudoersません。次に、次のようにドメインを追加してみました。
%MY_DOMAIN\\MY_AD_GROUP ALL=(ALL) ALL
%MY_AD_GROUP@MY_DOMAIN ALL=(ALL) ALL
%:MY_AD_GROUP@MY_DOMAIN ALL=(ALL) ALL
+MY_AD_GROUP ALL=(ALL) ALL
+MY_DOMAIN\\MY_AD_GROUP ALL=(ALL) ALL
+MY_AD_GROUP@MY_DOMAIN ALL=(ALL) ALL
しかし、それらのどれも動作しません。 IDを実行すると:
$ id
uid=1953620811(my_user) gid=1953600513(domain users) groups=1953600513(domain users) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
私のユーザーが実際にADユーザーであることを示しています。
言及する価値がある点:まず、ADで私のグループの1つをチェックします。
$ getent group MY_AD_GROUP
MY_AD_GROUP:*:1953654054:user1,my_user,user3,user4
したがって、my_userはMY_AD_GROUPのメンバーであるため、/etc/sudoersvisudoを介してそれを追加して実行しようとしました。
$ sudo echo a
[sudo] password for my_user:
my_user is not in the sudoers file. This incident will be reported.
その後、MY_AD_GROUPをもう一度確認してください。
$ getent group MY_AD_GROUP
MY_AD_GROUP:*:1953654054:user1,user3,user4
私のユーザーはリストから消えました(しかしそれでもADグループのメンバーであることがわかっています)。そして、一度実行して$ sss_cache -E実行すると、次のようになります。
$ getent group MY_AD_GROUP
MY_AD_GROUP:*:1953654054:user1,my_user,user3,user4
sudoは機能しませんが、ユーザーが再び表示されます。それで何が起こりましたか? ? ?