Автор Тема: Не работает мапирование доменных группп на локальные  (Прочитано 989 раз)

Оффлайн blackraven32

  • Начинающий
  • *
  • Сообщений: 2
Приветствую!

Есть система:
Linux 5.10.82-std-def-alt1 #1 SMP Fri Dec 3 14:49:25 UTC 2021 x86_64 GNU/Linux

Благополучно ввел в домен:
# net ads info
LDAP server: x.x.x.x
LDAP server name: DC2.mydomain.ru
Realm: mydomain.RU
Bind Path: dc=mydomain,dc=RU
LDAP port: 389
Server time: Пт, 28 окт 2022 16:08:03 MSK
KDC server: x.x.x.x
Server time offset: -1
Last machine account password change: Чт, 27 окт 2022 10:07:39 MSK

Доменные группы видит:
# wbinfo -g
компьютеры домена
администраторы домена
администраторы схемы
...
linuxadmins

Под доменной УЗ авторизуется, в т.ч. по ssh.
Пытаюсь ограничить доступ по ssh для отдельной доменной группой, но при этом дать ей sudo. Не получается.
Делал по инструкции
https://www.altlinux.org/ActiveDirectory/Login

# rolelst
пользователи домена:users
администраторы домена:localadmins
localadmins:wheel,remote,vboxusers,vboxadd
linuxadmins:localadmins,wheel
users:cdwriter,cdrom,audio,proc,radio,camera,floppy,xgrp,scanner,uucp,fuse,video,vboxusers,vboxadd
powerusers:remote,vboxadd,vboxusers
vboxadd:vboxsf

В доменной группе linuxadmins два пользователя, один из них еще и доменный админ, второй - рядовой доменный пользователь + в группе linuxadmins.
Роль localadmins этой группе я назначил. По SSH авторизуемся нормально, но ни один из них не может делать sudo/su, отказано в доступе.

из /etc/sudoers (все остальное там закомментировано):

User_Alias      WHEEL_USERS = %wheel
User_Alias      XGRP_USERS = %xgrp
Defaults:XGRP_USERS env_keep += "DISPLAY XAUTHORITY"
@includedir /etc/sudoers.d

Зашел под ssh под доменным пользователем admalt.

login as: admalt
$ id
uid=483604614(admalt) gid=483600513(пользователи домена) группы=483600513(пользователи домена),483604613(linuxadmins)
$ rolelst
пользователи домена:users
администраторы домена:localadmins
localadmins:wheel,remote,vboxusers,vboxadd
linuxadmins:localadmins,wheel
users:cdwriter,cdrom,audio,proc,radio,camera,floppy,xgrp,scanner,uucp,fuse,video,vboxusers,vboxadd
powerusers:remote,vboxadd,vboxusers
vboxadd:vboxsf

Т.е. группе доменной группе linuxadmins назначены роли localadmins и wheel. Но сделать sudo не могу.
# control sudo
wheelonly

Что не так, куда копать?

Онлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 616
sudo выключен su-

ssh вход под su- тоже под запретом
« Последнее редактирование: 29.10.2022 00:36:15 от kessys »
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн blackraven32

  • Начинающий
  • *
  • Сообщений: 2
sudo выключен su-

ssh вход под su- тоже под запретом

Не совсем понятно, что значит "выключен... под запретом..." в вашем сообщении.
В Руководстве же сказано о том, что можно дать права суперпользователя для доменных групп, т.е. должна быть возможность делать sudo или su-
(я, казалось бы, и делаю все по Руководству...)
Но у меня не работает ни то, ни то:

login as: admalt
admalt@10.1.10.2's password:
Last login: Fri Oct 28 16:17:01 2022 from 10.1.2.3
[admalt@devops ~]$ sudo
-bash: /usr/bin/sudo: Отказано в доступе
[admalt@devops ~]$ su-
-bash: /bin/su: Отказано в доступе
[admalt@devops ~]$

Оффлайн Aleksey Shimanov

  • Давно тут
  • **
  • Сообщений: 62
    • Email
Проверьте настройки: Настройка sudo

Онлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 616
sudo выключен su-

ssh вход под su- тоже под запретом

Не совсем понятно, что значит "выключен... под запретом..." в вашем сообщении.
В Руководстве же сказано о том, что можно дать права суперпользователя для доменных групп, т.е. должна быть возможность делать sudo или su-
(я, казалось бы, и делаю все по Руководству...)
Но у меня не работает ни то, ни то:

login as: admalt
admalt@10.1.10.2's password:
Last login: Fri Oct 28 16:17:01 2022 from 10.1.2.3
[admalt@devops ~]$ sudo
-bash: /usr/bin/sudo: Отказано в доступе
[admalt@devops ~]$ su-
-bash: /bin/su: Отказано в доступе
[admalt@devops ~]$

Отображение глобальных групп на локальные
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.