Tag: user management

编辑/ etc / sudoers以允许Winbind Group成员仅向一个本地用户sudo: 我有多个需要连接到Active Directory进行用户管理的Ubuntu Linux主机（不幸的是，实际的LDAP服务器不是这里的选项……）并且已配置Winbind来处理身份validation，我的%sudoers组条目工作正常： ## Allow AD members of the service group restricted user access to that account %sudoers ALL=(ALL:ALL) NOPASSWD:ALL 我在ssh配置中允许密码validation，并在帐户的sudoers文件中添加了以下条目： %service ALL=(service:service) NOPASSWD:ALL 即使sudoers组和service组在AD服务器上的目录树中处于同一级别，这甚至都找不到该组。我这样做的时候： %domain.local\\service ALL=(ALL:ALL) NOPASSWD:ALL … service组的成员能够登录并拥有完整的sudo权限，包括root，这是不可接受的，并且已经被sudoers组和条目覆盖。或者当我这样做时： %domain.local\\service ALL=(service:service) NOPASSWD:ALL …成员无法向任何用户sudo。对于服务用户，这里是服务用户的/ etc / passwd条目： service:x:1001:16777230::/opt/service:/bin/bash 根据Sudoers Man Page，这最后一个条目应该可行，但由于某种原因它不会。此外， %service还应该涵盖本地和AD提供的成员资格，但似乎没有。当我创建此用户时，因为目录服务器中已有一个名为service的组，这里是我创建service用户帐户的方式： useradd -d /opt/service -g service service 以下是该组成员的sudo -l输出： […]