Sudo права доменных(AD) пользователей?

Question

[Андрей]

Привет, подскажите где неверные настройки?
Домен AD
Линуксовая машина подключена к домену установлен xrdp, пользователи заходят, всё нормально
Не получается AD пользователем выдать sudo права, OU в домене где расположены пользователи названа кириллицей (не знаю на сколько это плохо в рамках данной проблемы?)
по конфигам так

spoiler

sssd.conf
[sssd]
domains = domain.ru
default_domain_suffix = domain.ru
config_file_version = 2
services = nss, pam, sudo, ssh

[domain/domain.ru]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = DOMAIN.RU
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = domain.ru
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple

в /etc/sudoers.d/domain

spoiler

%domain.ru\\Сотрудники ALL=(ALL) ALL

пробовал разные варианты, но толку 0

буду благодарен за советы!

Answer 1

[Vitaly Karasik]

Насколько помню, домейн тут (в /etc/sudoers.d/domain) ни при чем, добавляйте по группам.
Перейдите в одного из пользователей, запустите "id", посмотрите на группы и добавьте релевантные в /etc/sudoers.d/domain.
Кстати, в ИМХО в sssd.conf удобнее "use_fully_qualified_names = false"

Comments

[Андрей]

вывел список групп, нужная gid=838600513(domain users@domain.ru)
а как верно прописать?

%domain.ru\\users@domain.ru ALL=(ALL) ALL
так не работает

[Vitaly Karasik]

Честно говоря, не помню, как маскировать пробелы. Может в кавычки заключить - "%domain users@domain.ru"?

Кстати, судя по доку, вроде бы можно так

%#838600513 ALL=(ALL) ALL

[Андрей]

Vitaly Karasik, нихрена не помогает )

[Vitaly Karasik]

Андрей - пробуйте! У меня в свое время работало.

[Андрей]

Vitaly Karasik, всё верно, взлетело так
"%domain users@domain.ru" ALL=(ALL) ALL

но какая-то странная логика работы, я захожу под AD пользователем в xrdp, в консоли делаю sudo mc ввожу пароль и права есть, но если я в гуе открываю любое приложение где нужны sudo права, то это так не работает, мне приходится добавлять AD пользователя в группу sudo- sudo usermod -aG sudo "user"
и тогда, у него появляются права в гуе под своей учёткой!

[Vitaly Karasik]

Круто!

в гуе открываю любое приложение где нужны sudo права, то это так не работает

Возможно там другие настройки sudo, я не пользовался.

[Андрей]

Vitaly Karasik, Виталий, Вам спасибо за помощь!