sudo и Администраторы домена, Windows

vic-tor

New member
Сообщения
7
#1
Доброго времени суток,
Рассматриваю вариант интеграции Astra linux на предприятии.
Ввел в домен под управлением Windows Server, без проблем.
Попытался получить sudo под пользователем из группы "Администраторы домена", система сообщила, что этого пользователя нет в фале sudoers. Перекопал интернет, решений много, но результатов не дало.
Прошу помощи с настройкой выдачи прав sudo пользователям, этой группы.

Также есть ряд вопросов.
.Сейчас использую RAdmin, есть ли аналог для Astra linux, с возможностью смены пользователя (тоесть осуществить выход из системы одним пользователей и вход под другим, удаленно)
.Есть принтеры и МФУ, HP, Samsung, Konika Minolta, Xerox, от старых моделей (10 летней давности) до современных. Подключенных как локальной сети на прямую, так и "расшарены" в сеть через подключение к компьютеру.
.Подозреваю, будет потребность работы Wine

Все ли это удастся реализовать?
 
Последнее редактирование:

OIvanov

New member
Сообщения
48
#2
Доброго времени суток,
Рассматриваю вариант интеграции Astra linux на предприятии.
Ввел в домен под управлением Windows Server, без проблем.
Попытался получить sudo под пользователем из группы "Администраторы домена", система сообщила, что этого пользователя нет в фале sudoers. Перекопал интернет, решений много, но результатов не дало.
Прошу помощи с настройкой выдачи прав sudo пользователям, этой группы.

Также есть ряд вопросов.
.Сейчас использую RAdmin, есть ли аналог для Astra linux, с возможностью смены пользователя (тоесть осуществить выход из системы одним пользователей и вход под другим, удаленно)
.Есть принтеры и МФУ, HP, Samsung, Konika Minolta, Xerox, от старых моделей (10 летней давности) до современных. Подключенных как локальной сети на прямую, так и "расшарены" в сеть через подключение к компьютеру.
.Подозреваю, будет потребность работы Wine

Все ли это удастся реализовать?
А зачем всем пользователям админские права? Права sudo можно получать командой su username (с привилегиями astra-admin)

В качестве RAdmin не подойдёт ли xrdp? Удалённый рабочий стол виндовый.
 

vic-tor

New member
Сообщения
7
#3
А зачем всем пользователям админские права? Права sudo можно получать командой su username (с привилегиями astra-admin)

В качестве RAdmin не подойдёт ли xrdp? Удалённый рабочий стол виндовый.
Не всем пользователям, а только членам группы "Администраторы домена". Хотя рассмотрю этот вариант. Но все же хочу понять как это реализовать.

xrdp - позволяет совместно с пользователем компьютера работать?
 
Последнее редактирование:

3d3

New member
Сообщения
99
#4
Подозреваю, будет потребность работы Wine
Разработчик крайне негативно относятся к этим виндузятникам так что забудьте!

В качестве RAdmin не подойдёт ли xrdp? Удалённый рабочий стол виндовый
Часть функций администрирования не работает, вы не увидите действия пользователя. У меня завелся x11vnc для того чтобы видеть рабочий стол пользователя и его действия.
 

vic-tor

New member
Сообщения
7
#5
Разработчик крайне негативно относятся к этим виндузятникам так что забудьте!
Хреново, есть софт, которого под linux нет
Часть функций администрирования не работает, вы не увидите действия пользователя. У меня завелся x11vnc для того чтобы видеть рабочий стол пользователя и его действия.
x11vnc - можно подключится чтобы ввесли логин и пароль на экране входа пользователя?
 

3d3

New member
Сообщения
99
#6
Хреново, есть софт, которого под linux нет

x11vnc - можно подключится чтобы ввесли логин и пароль на экране входа пользователя?
У меня отваливается соединение при выходе из пользователя, но после пере подключения можно заходить под другим пользователем.
https://forum.astralinux.ru/threads/1086/post-5607
 

vic-tor

New member
Сообщения
7
#7
У меня отваливается соединение при выходе из пользователя, но после пере подключения можно заходить под другим пользователем.
https://forum.astralinux.ru/threads/1086/post-5607
Благодарствую.

Скажите, у вас есть опыт интеграции сего дистрибутива, в предприятиях?. Хотелось бы опыт узнать
 

3d3

New member
Сообщения
99
#8
Опыта нет. Обучения нет, Опыт работы с линкус небольшой, но его больше чем у коллег. Сейчаc сам пытаюсь отработать разворачивания небольшого бизнес центра на десяток машин с принтерами hp и xerox. Поставленные задачи не большие - это полный удаленный контроль, доступ в интернет и возможность печати из чего то напоминающего православный микрософт оффис, есть желание поставить МойОфис но пока себя сдерживаю :D. Начальство подкидывает идеи типа скайпа (с вопросами решена), оригинальный акробатридер (не решена и похоже не будет решена), запуск программ через вайн (не решена и похоже не будет решена) но это второстепенные задачи и моя позиция пусть мажеры мучаются, так как в описании бизнес центра будет упоминание что используется отечественное программное обеспечение во всей своей "первозданной дикой необъезженной красоте".
 
Последнее редактирование:

vic-tor

New member
Сообщения
7
#9
Опыта нет. Обучения нет, Опыт работы с линкус небольшой, но его больше чем у коллег. Сейчасм сам пытаюсь отработать разворачивания небольшого бизнес центра на десяток машин с принтерами hp и xerox. Поставленные задачи не большие - это полный удаленный контроль, доступ в интернет и возможность печати из чего то напоминающего православный микрософт оффис, есть желание поставить МойОфис но пока себя сдерживаю :D. Начальство подкидывает идеи типа скайпа (с вопросами решена), оригинальный акробатридер (не решена и похоже не будет решена), запуск программ через вайн (не решена и похоже не будет решена) но это второстепенные задачи и моя позиция пусть мажеры мучаются, так как в описании бизнес центра будет упоминание что используется отечественное программное обеспечение во всей своей "первозданной дикой необъезженной красоте".
Хочется говорить на исконно русском, но воспитание не позволяет, да и админы будут не в восторге.

Мне вот, организация на 3 000 людей светит. Windows AD, PROXY, сеть 3 уровня. Полный привет.

Поставлена цель найти Linux решение, и началось .... .

Сейчас ищу подходящую систему, по обертке Astra вроде порадовала, а как распаковал, посыпался вопросами.
 

3d3

New member
Сообщения
99
#10
Мне вот, организация на 3 000 людей светит. Windows AD, PROXY, сеть 3 уровня. Полный привет.
Рабочих мест или численность персонала? У меня в сети где то 200+ машин включая физические сервера. Тоже пришла разнарядка сверху об переходе. Пока все тяжко поэтому для отчета будут заткнуто пару не критических для системы сегментов, а там или осел сдохнет или падишах!
 

vic-tor

New member
Сообщения
7
#11
Рабочих мест или численность персонала? У меня в сети где то 200+ машин включая физические сервера. Тоже пришла разнарядка сверху об переходе. Пока все тяжко поэтому для отчета будут заткнуто пару не критических для системы сегментов, а там или осел сдохнет или падишах!
машин раб мест 1000 + и растет. что сказать не знаю. Но понимаю, что linux не готовы к такому.
 

ione67

New member
Сообщения
3
#12
Доброго времени суток,
Прошу помощи с настройкой выдачи прав sudo пользователям, этой группы.
Вопрос как-то решился? Перепробовал так же с десяток вариантов правки файла sudoers, но пока результата никакого нет. Доменного пользователя в группу astra-admin добавлял, попутно так же добавлял в группы sudo, root. Но эффекта не возымел. Буду рад любой подсказке в какую сторону копать. В домен вводил средствами пакета fly-admin-ad-client .
 

agro_fit

New member
Сообщения
33
#13
Вопрос как-то решился? Перепробовал так же с десяток вариантов правки файла sudoers, но пока результата никакого нет. Доменного пользователя в группу astra-admin добавлял, попутно так же добавлял в группы sudo, root. Но эффекта не возымел. Буду рад любой подсказке в какую сторону копать. В домен вводил средствами пакета fly-admin-ad-client .
Чтобы добавить группу domain admins в администраторы машины, нужно создать файл
sudo visudo -f /etc/sudoers.d/domain_admin

и прописать в нем
%ДОМЕН\\domain\ admins ALL=(ALL) ALL

Если в файле /etc/samba/smb.conf изменим опцию winbind use default domain на yes, то можно заходить в систему без указания домена. Но тогда нужно в файл
sudo visudo -f /etc/sudoers.d/domain_admin

добавить еще
%domain\ admins ALL=(ALL) ALL
 

vic-tor

New member
Сообщения
7
#14
Вопрос как-то решился? Перепробовал так же с десяток вариантов правки файла sudoers, но пока результата никакого нет. Доменного пользователя в группу astra-admin добавлял, попутно так же добавлял в группы sudo, root. Но эффекта не возымел. Буду рад любой подсказке в какую сторону копать. В домен вводил средствами пакета fly-admin-ad-client .
Собственно, я пока остановился копать в эту сторону. Однако вот что я выяснил:
Я взял систему Alt linux, ввел в домен, присвоил группе "Администраторов домена" права суперпользователя через команды в группу wheel, после чего Администраторы получили права sudo.

Попробовал транслировать эту процедуру в Астра, неполучилось.

Инструкции приведенные ниже
sudo visudo -f /etc/sudoers.d/domain_admin
%ДОМЕН\\domain\ admins ALL=(ALL) ALL
sudo visudo -f /etc/sudoers.d/domain_admin
%domain\ admins ALL=(ALL) ALL
для Астра линукс, у меня не работали.
 

ione67

New member
Сообщения
3
#15
Собственно, я пока остановился копать в эту сторону. Однако вот что я выяснил:
Я взял систему Alt linux, ввел в домен, присвоил группе "Администраторов домена" права суперпользователя через команды в группу wheel, после чего Администраторы получили права sudo.

Попробовал транслировать эту процедуру в Астра, неполучилось.

Инструкции приведенные ниже
sudo visudo -f /etc/sudoers.d/domain_admin
%ДОМЕН\\domain\ admins ALL=(ALL) ALL
sudo visudo -f /etc/sudoers.d/domain_admin
%domain\ admins ALL=(ALL) ALL
для Астра линукс, у меня не работали.
Добрый день!
Забыл сюда отписать, но вопрос решился указанным выше способом:
%ДОМЕН\\Администраторы\ клиентских\ компьютеров ALL=(ALL) ALL.
Т.к. группа имеет пробелы, соответственно экранируется слэшем.
В таком случае всё заработало.
 

at0mix

New member
Сообщения
54
#16
В продолжение темы.
Да, если группу из АД прописать в sudoers - sudo работает для членов группы.
НО! ЕСТЬ несколько утилит - политика безопасности, синаптик (гуй-установщик пакетов) которые видны в панели управления только членам группы astra-admin". т.е. права sudo есть, но из фляя эти программы просто не видны. при этом если зайти локальным пользователем из группы astra-admin - то синаптик виден и запускается, а политика безопасности - видна но не запускается.
куда копать?
 

at0mix

New member
Сообщения
54
#17
Чтобы добавить группу domain admins в администраторы машины, нужно создать файл
sudo visudo -f /etc/sudoers.d/domain_admin
и прописать в нем
%ДОМЕН\\domain\ admins ALL=(ALL) ALL
Если в файле /etc/samba/smb.conf изменим опцию winbind use default domain на yes, то можно заходить в систему без указания домена. Но тогда нужно в файл
sudo visudo -f /etc/sudoers.d/domain_admin
добавить еще
%domain\ admins ALL=(ALL) ALL
если в файле /etc/samba/smb.conf изменим опцию winbind use default domain на yes, то можно заходить в систему без указания домена, и при этом к названию группы не добавляется имя домена. соответственно если на винде сделать группу astra-admin то доменные пользователи из этой группы автоматом попадут в локальную группу astra-admin
НО! есть проблема - при запуске например синаптика нужно вводить пароль юзера uid=1000 а не собственный пароль %(
пока не поборол.....

в остальном все отлично - в судоерс ничего писать не нужно!
 

wws

New member
Сообщения
5
#18
Всем доброго времени суток!

Уже достаточно долгое время стараемся решить проблему по работе доменной УЗ в Астре.

Проблема в отсутствии должных прав УЗ при входе.

Сделано следующее:

-компьютер с Астрой включен в домен;
-в АД на КД создана группа AstraAdmins;
-УЗ администраторов домена включены в группу AstraAdmins

отредактирован sudoers:

#includedir /etc/sudoers.d
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL

В соответствии с рекомендациями несколькими постами выше, создан файл в /etc/sudoers.d/domain_admin:

%YASHZ\\AstraAdmins ALL=(ALL) ALL

Увы, эффекта нет. При входе под доменной УЗ даже нет терминала в меню. Что я делаю не так?
 

at0mix

New member
Сообщения
54
#19
Всем доброго времени суток!
Уже достаточно долгое время стараемся решить проблему по работе доменной УЗ в Астре.
Видимо плохо стараетесь ;)
-компьютер с Астрой включен в домен;
-в АД на КД создана группа AstraAdmins;
-УЗ администраторов домена включены в группу AstraAdmins

отредактирован sudoers:
#includedir /etc/sudoers.d
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL

В соответствии с рекомендациями несколькими постами выше, создан файл в /etc/sudoers.d/domain_admin:
%YASHZ\\AstraAdmins ALL=(ALL) ALL
Увы, эффекта нет. При входе под доменной УЗ даже нет терминала в меню. Что я делаю не так?
Естественно. В линуксе все записи чувствительны к регистру.
AstraAdmins не равно astra-admin
а для получения sudo нужно быть в группе astra-admin
группа AstraAdmins таких прав не дает.....
 

wws

New member
Сообщения
5
#20
Прошу прощения, неправильно написал.

На самом деле sudoers выглядит так:

# User privilege specification

root ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command

%sudo ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL

%YASHZ\\AstraAdmins ALL=(ALL) ALL


Соответственно, YASHZ - имя домена, AstraAdmins - группа, созданная в ActiveDirectory на доменном контроллере. И, как видно из файла, я попытался дать на неё полные права.