Членство в группе Active Directory (указанное в файле sudoers) является прерывистым через SSH.

Question

Членство в группе Active Directory (указанное в файле sudoers) является прерывистым через SSH.

СРЕДА

Мы используем несколько систем Ubuntu 22.04. Системы добавляются в домен Windows Active Directory через графический интерфейс как часть первоначальной конфигурации. У нас есть группа Active Directory под названием «sudoers», которая содержит несколько пользователей Active Directory. Мы изменили файл sudoers (/etc/sudoers) через visudo, включив в него группу sudoers из Active Directory. SSH работает в системах.

Пользователи могут установить сеанс ssh с помощью своих учетных данных Active Directory. Члены группы Active Directory «sudoers» могут повышать права команд из сеанса ssh. Иногда.

ПРОБЛЕМА

Периодически члены группы suoders устанавливают сеанс ssh, пытаются выполнить команду с повышенными правами и получают сообщение «нет в файле sudoers. Об этом инциденте будет сообщено». сообщение. Проблема возникает, когда один и тот же пользователь устанавливает более одного сеанса ssh. Группа sudoers не отображается, если пользователь запускает команду «группы», находясь в состоянии проблемы. Тем не менее, группа sudoers отображается, если тот же пользователь запускает команду «groups» из другого сеанса ssh (в то время как другой сеанс ssh все еще находится в проблемном состоянии).

Мы попробовали несколько изменений конфигурации, но безуспешно. Любые рекомендации будут очень признательны!

ИСПОЛЬЗОВАННАЯ ЛИТЕРАТУРА

Я перечислил содержимое файла sudoers и содержимое файла sssd.conf (/etc/sssd/sssd.conf) для справки.

      ## This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
Defaults        use_pty

# This preserves proxy settings from user environments of root
# equivalent users (group sudo)
#Defaults:%sudo env_keep += "http_proxy https_proxy ftp_proxy all_proxy no_proxy"

# This allows running arbitrary commands, but so does ALL, and it means
# different sudoers have their choice of editor respected.
#Defaults:%sudo env_keep += "EDITOR"

# Completely harmless preservation of a user preference.
#Defaults:%sudo env_keep += "GREP_COLOR"

# While you shouldn't normally run git as root, you need to with etckeeper
#Defaults:%sudo env_keep += "GIT_AUTHOR_* GIT_COMMITTER_*"

# Per-user preferences; root won't have sensible values for them.
#Defaults:%sudo env_keep += "EMAIL DEBEMAIL DEBFULLNAME"

# "sudo scp" or "sudo rsync" should be able to use your SSH agent.
#Defaults:%sudo env_keep += "SSH_AGENT_PID SSH_AUTH_SOCK"

# Ditto for GPG agent
#Defaults:%sudo env_keep += "GPG_AGENT_INFO"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# Added Manually
%sudoers        ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "@include" directives:

@includedir /etc/sudoers.d

      [sssd]
domains = domain.local
config_file_version = 2
Services = nss, pam

[domain/domain.local]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = DOMAIN.LOCAL
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = domain.local
use_fully_qualified_names = False
ldap_id_mapping = True
access_provider = ad

#ldap_schema = rfc2307bis
#ldap_group_name = cn
#ldap_group_member = member

0

22.04 ssh sudo active-directory groups

Источник

lovetolearn 22 ноя '23 в 20:20

0 ответов

Другие вопросы по тегам 22.04 ssh sudo active-directory groups