Разрешите AD группы SUDO
Можно использовать raspi-config управляйте и выбор "expand_root фс".
Через несколько месяцев после того, как вы спросили, но правильный ответ - удалить всю информацию о домене из группы. Вся информация устанавливается и извлекается SSSD автоматически.
Единственный недостаток, который я вижу в некоторых из ваших примеров, заключается в том, что вы экранировали пробел с помощью ^.
Группа AD из администраторов предприятия будет иметь строку sudoers, которая начинается с
% Enterprise \ Admins
. Например, если ваш домен - example.com , тогда строка sudoers выглядит так:
% Enterprise \ (hidden) ALL = (ALL) ALL
Вы можете проверить это, посмотрев вызов getent в группе.
getent group Enterprise \ Admins
winbind и sssd импортируют группы AD аналогично сетевым группам NIS. Таким образом, определения вашей группы в файле / etc / sudoers должны начинаться с + , а не с % . Кроме того, имена, содержащие пробелы, должны быть заключены в двойные кавычки или каждый пробел должен быть указан как \ x20 .
%sudo ALL = (ALL) ALL
+"domain users" ALL = (ALL) ALL
+domain\x20admins ALL = (ALL) NOPASSWD: ALL
Если вы управляете sudo с помощью visudo, будь то через PAM или просто локальный файл sudoers, тогда вы используете %GroupName.
Если вы используете sudo-ldap, вам необходимо настроить группы AD так, чтобы они отображались как сетевые группы, и использовать +имя_сети. Я делаю это, включив роль NFS и создав сетевые группы, которые идут с моими обычными группами AD:
New-NfsNetgroup -NetGroupName MyNetGroup -AddMember MyMember
*примечание MyMember — это не полное доменное имя, а просто имя хоста
Вместо этого я также использую sssd PAM, поэтому вам нужно очистить кеш с помощью sss_cache -E, чтобы получить новые имена сетевых групп.
Подтвердить с помощью:
getent netgroup MyNetGroup
Следует увидеть:
MyNetGroup (MyMember,-,-)
Я НЕ включаю общие ресурсы NFS на ADDC, установка роли NFS разрешает создание в пространствах имен Netgroup.