"пользователь НЕ в sudoers" при использовании RealmD, SSSD
Недавно начал присоединять наш сервер Ubuntu к домену для аутентификации. По большей части я добился успеха и считаю, что все конфигурации одинаковы в каждой системе. Однако сегодня столкнулись с двумя, которые позволят аутентификацию, но не доступ к SUDO. Я проверил и дважды проверил правильную конфигурацию sudoers (по крайней мере, подтвердил, что она совпадает с рабочими системами), конфигурацию realmd и конфигурацию SSSD.
Как вы можете видеть, вот журнал из сеанса по SSH, а затем попытка перейти к SUDO. Указывает, что пользователь не входит в группу sudoers. Далее вы найдете вывод файла sudoers и несколько других соответствующих фрагментов конфигурации. Посоветуйте, пожалуйста, следующие шаги для устранения неполадок. Это высоко ценится.
Oct 22 16:04:58 server-1 sshd[8701]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.15.25 user=MYDOMAIN\smithj
Oct 22 16:04:58 server-1 sshd[8701]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.15.25 user=MYDOMAIN\smithj
Oct 22 16:04:59 server-1 sshd[8701]: Accepted password for MYDOMAIN\\smithj from 192.168.15.25 port 7438 ssh2
Oct 22 16:04:59 server-1 sshd[8701]: pam_unix(sshd:session): session opened for user MYDOMAIN\smithj by (uid=0)
Oct 22 16:04:59 server-1 systemd-logind[1323]: New session 6 of user smithj.
Oct 22 16:05:00 server-1 systemd: pam_unix(systemd-user:session): session opened for user smithj by (uid=0)
Oct 22 16:05:06 server-1 sudo: pam_unix(sudo:auth): authentication failure; logname=smithj uid=535028654 euid=0 tty=/dev/pts/1 ruser=smithj rhost= user=smithj
Oct 22 16:05:06 server-1 sudo: pam_sss(sudo:auth): authentication success; logname=smithj uid=535028654 euid=0 tty=/dev/pts/1 ruser=smithj rhost= user=smithj
Oct 22 16:05:07 server-1 sudo: smithj : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/MYDOMAIN/smithj ; USER=root ; COMMAND=/bin/su
Судо файл:
# As file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.di
#AD Domain Groups and Users
%domain\ admins ALL=(ALL) NOPASSWD:ALL
Вывод "id smithj"
uid=535028654(smithj) gid=535000513(domain users) groups=535000513(domain users),535000512(domain admins)
Вывод "getent group 'admins домена":
domain admins:*:535000512:smithj
Вывод "getent passwd smithj":
smithj:*:535028654:535000513:Smith, John:/home/MYDOMAIN/smithj:/bin/bash
SSSD.conf
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/MYDOMAIN/%u
access_provider = simple
simple_allow_groups = Domain Admins
Realmd.conf
[users]
default-home = /home/MYDOMAIN/%U
default-shell = /bin/bash
[active-directory]
default-client = sssd
os-name = Ubuntu Server
os-version = 16.04
[service]
automatic-install = no
[mydomain.com]
fully-qualified-names = no
automatic-id-mapping = yes
user-principal = yes
manage-system = no