Как пользователям домена дать права на sudo?

Question

[dflbrhekbn]

Есть домен (Windows Server 2012), есть пк с Centos 6.6. ПК добавлен в домен, доменный пользователь на этот ПК. Как разрешить доменным пользователям (группе - linuxadmin) использовать sudo ?
Я делал так. Заходил доменным пользователем, в терминале писал "id", находил мою группу и ее идентификатор -
группы= ....,16777229(KVDRO\linuxadmin)
Затем в /etc/sudoers пишу так :
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
%KVDRO\\linuxadmin ALL = (ALL:ALL) ALL : ALL
После этого когда пишу : sudo что_то_там
И получаю : sudo: >>> /etc/sudoers: syntax error near line 99 <<< - это и есть номер моей добавленной строки
sudo: parse error in /etc/sudoers near line 99
sudo: no valid sudoers sources found, quitting
sudo: не удаётся инициализировать модуль политики
Как нужно правильно ?

Answer 1

[CityCat4]

getent group [имя-группы] что показывает?

# getent group jabberuser
jabberuser:*:231636:mplab

у меня показывает вот так например

Comments

[dflbrhekbn]

сделал так:
wbinfo -g ->>> ... KVDRO\linuxadmin
getent group KVDRO\linuxadmin ->>>> нечего не выдит
getent group linuxadmin - >>> идентично 2-му

[CityCat4]

1. Нафиг везде совать имя виндового домена? Если интеграция правильная, система должна воспринимать всех юзеров как одно пространство.
2. Как сделана итнеграция? Через winbind? Через sss? Что в /etc/nsswitch.conf прописано?

[dflbrhekbn]

1. Понятие пока не имею как по другому должно быть. Делал по инструкциям из тырнета.
2. через winbind.

#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Valid entries include:
#
#	nisplus			Use NIS+ (NIS version 3)
#	nis			Use NIS (NIS version 2), also called YP
#	dns			Use DNS (Domain Name Service)
#	files			Use the local files
#	db			Use the local database (.db) files
#	compat			Use NIS on compat mode
#	hesiod			Use Hesiod for user lookups
#	[NOTFOUND=return]	Stop searching if not found so far
#

# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd:    db files nisplus nis
#shadow:    db files nisplus nis
#group:     db files nisplus nis

passwd:     files winbind
shadow:     files winbind
group:      files winbind

#hosts:     db files nisplus nis dns
hosts:      files dns

# Example - obey only what nisplus tells us...
#services:   nisplus [NOTFOUND=return] files
#networks:   nisplus [NOTFOUND=return] files
#protocols:  nisplus [NOTFOUND=return] files
#rpc:        nisplus [NOTFOUND=return] files
#ethers:     nisplus [NOTFOUND=return] files
#netmasks:   nisplus [NOTFOUND=return] files     

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

netgroup:   files

publickey:  nisplus

automount:  files
aliases:    files nisplus

[CityCat4]

Если цель - именно дать доменным юзерам права на управление локальным серваком, то проще было бы сделать через sss.
yum install sssd
Настроить sssd, для чего нужно создать конфиг /etc/sssd/sssd.conf:

[sssd]
config_file_version = 2
domains = comp.local
services = nss
[nss]
filter_users = root
shell_fallback = /sbin/nologin
fallback_homedir = /usr/share/smbusers/%u (любой, должен существовать!)
default_shell = /bin/sh
[domain/comp.local]
id_provider = ldap
auth_provider = ad
access_provider = ldap
selinux_provider = none
ldap_referrals = false
ldap_uri = ldap://dc1.comp.local/
ldap_backup_uri = ldap://dc3.comp.local/
ad_server = dc1.comp.local
ad_backup_server = dc3.comp.local
ldap_sasl_mech = GSSAPI
ldap_id_mapping = true
ldap_schema = ad
ldap_idmap_default_domain_sid = [SID]
lookup_family_order = ipv4_only
case_sensitive = false
ldap_user_search_base = dc=comp,dc=local
ldap_group_search_base = dc=comp,dc=local
ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true
krb5_realm = COMP.LOCAL
krb5_canonicalize = false
ldap_user_object_class = user
ldap_user_name = sAMAccountName
ldap_user_gecos = displayName
ldap_user_principal = userPrincipalName
ldap_user_modify_timestamp = whenChanged
ldap_user_shadow_last_change = pwdLastSet
ldap_user_shadow_expire = accountExpires
ldap_group_object_class = group
ldap_group_name = cn

domain SID можнго получить, выполнив команду net ads status -u [существующий доменный логин]. В ответ вывалится масса текста, среди которого будет objectSid, например:

objectSid: S-1-5-21-BBBBBBBBB-AAAAAAAAAA-XXXXXXXX-YYYYY

где AAA, BBB, XXX и YYY - цифры. Блок YYY нужно откинуть, остальное использовать.

/etc/nsswitch.conf привести вот к такому виду:

passwd:     files sss
group:      files sss
shadow:     files sss
hosts:      files dns
bootparams: files 
ethers:     files 
netmasks:   files 
networks:   files 
protocols:  files 
rpc:        files 
services:   files sss
automount:  files sss
aliases:    files
netgroup:   files sss

Сервис sssd настроить на автозапуск - тут, я думаю, справитесь. Да и для всего прочего есть команды, но мне их писать лениво, потому что все что они делают - правят конфиги.

[dflbrhekbn]

Спасибо, буду пробовать. sudo нужно что бы на клиентском пк я мог установить что-то или обновить от доменного пользователя не переключаясь на локального рута

[CityCat4]

dflbrhekbn, по поводу sssd.conf читайте ман, там множество настраиваемых параметров, я-то его под себя пилил :)