Windows 2003ドメインにいくつかのFedora 20ワークステーションを追加する予定です。ボックスを使用してドメインに正常に参加し、ドメインアカウントを使用してログインできます。
Enterprise AdminsデフォルトのADグループを許可しようとしていますがSUDO、グループが見つからないようです(または少なくとも私のユーザーアカウントがsudoersファイルにないことを示すメッセージが表示されます)。
OU構造(デフォルト):
- ローカルドメイン名
- 組み込み
- コンピュータ
- DCOM - ユーザー
- ドメインコントローラ
- 外交安全保障室長
- 会社名
- 管理する
- 会計
- マネージャー
- システムアカウント
- カスタマーサービス
- 倉庫
- ユーザー
ドメインを使用してrealmd参加sssdしており、OUの下のグループにsudoを許可しようとしていますが、OU /サブグループの一部のグループも追加したいとUsers思います。CompanyName --> Admins
私は現在これを試していますが、運がありません(/ etc / sudoersから)
%MYDOMAIN\\Enterprise^Admins ALL=(ALL) ALL
また、次のようないくつかのバリエーションを試しました。
%MYDOMAIN\\Users\Enterprise^Admins ALL=(ALL) ALL
%Enterprise^[email protected] ALL=(ALL) ALL
ちょっと…何も働かないと思います。再起動後もおよび/またはsystemctrl restart sssd。
ドメインアカウントを/etc/sudoersファイルに明示的に追加すると、問題なく動作します。
[email protected] ALL=(ALL) ALL
sudoerにADグループを追加することが可能でなければならないことを示すいくつかのリソースがありますが、これまでのところ何も効果がありませんでした。
http://funwithlinux.net/2013/09/join-fedora-19-to-active-directory-domain-realmd/
https://serverfault.com/questions/387950/how-to-map-ad-domain-admins-group-to-ubuntu-admins
ベストアンサー1
お問い合わせから数ヶ月が経過しましたが、正解はグループからすべてのドメイン情報を削除することです。すべての情報はSSSDによって自動的に設定され抽出されます。
いくつかの例で私が見た唯一の欠陥は、^を使用してスペースをエスケープすることです。
AD グループには、Enterprise Adminssudoers で始まる行があります。
%Enterprise\ Admins
たとえば、ドメインがある場合、example.comsudoers行は次のようになります。
%Enterprise\ [email protected] ALL=(ALL) ALL
グループからgetentを呼び出してこれを確認できます。
getent group Enterprise\ Admins