Добрый день!
Продолжаем экспериментировать со связкой Linux + Windows AD. Начало здесь.
Первое на чём я споткнулся после ввода Astra Linux в домен Windows, так это то, что я оказался обычным пользователем, что вполне логично, т.к. Astra ничего не знает ни о группах в AD, ни о политиках и прочее прочее... Точнее знает, но применять на себя совсем не собирается. Все доменные, да и не доменные, пользователи по-умолчанию являются просто пользователями. Администратор в Linux один, и это root.
Конечно же я сразу попытался запустить команду sudo и получил ошибку, что я "is not in the sudoers file". Тут же появилась мысль внести себя, а лучше всю свою группу AD в файл sudoers.
После нескольких часов экспериментов и разного рода вариаций с пользователями, группами и т.п. решение было найдено на форуме Astra Linux:
https://forum.astralinux.ru/threads/152/
Оказывает всё банально и просто:
Запускаем команду id без аргументов, в результате получаем список групп, к которым принадлежит текущий пользователь.
Редактируем файл /etc/sudoers командой visudo.
В файле нужно прописать либо:
доменный_пользователь ALL=(ALL) ALL
либо
%доменная_группа ALL=(ALL) ALL
Важный момент!
Не нужно писать сам домен и тому подобное. Просто имя пользователя либо группы! В разнообразных инструкциях я видел вариант user@domain или domain\\user. Не работает!
Именно как написано в выводе команды id , так и пишем имя группы в файл sudoers. Маленькими буквами.
Все манипуляции только через команду visudo!
В моём варианте группа пользователей выглядела как "Администраторы_****". Как я только не пытался объяснить Linux, что мене нужна именно это группа! Получилость только когда я ввёл название группы маленькими буквами без домена.
Ничего не могу сказать по поводу пробелов в именах групп. Да и вообще, "Профессионалы_пробелами_не_пользуются!"
Так же ошибкой было редактировать файл sudoers через nano. В результате неверного синтаксиса в файле sudoers локальный пользователь выпал из группы sudo. Пользователь же root был естественно отключен. Помогла переустановка..
Не знаю, сработает ли данный метод в других дистрибутивах Linux, хотя почему нет.
Ну и конечно же хотелось бы всё это дело автоматизировать, но это потом, позже.
И напоследок небольшой лайфхак. Дабы не перелогиниваться под локальным пользователем можно использовать последовательность команд:
su <локальный пользователь>
sudo su
В результате получаем терминал с правами root.
С уважением..
Продолжение здесь.