ডেটাবেস সার্ভার হিসাবে ব্যবহারের জন্য আমি একটি উবুন্টু 11.04 সার্ভার ভিএম সেট আপ করছি। এটি যদি আমাদের উইন্ডোজ শংসাপত্রগুলি ব্যবহার করে লোকেরা লগইন করতে পারে এবং সম্ভবত অন্য কোথাও পেলাম বর্তমান এডি চালিত সুরক্ষার মাধ্যমে মেশিনটিকে কাজ করতে পারে তবে এটি প্রত্যেকের জীবনকে আরও সহজ করে তুলবে।

এর প্রথম লেগটি সম্পাদন করা সত্যিই সহজ ছিল - apt-get install likewise-openএবং আমি ব্যবসায়ের দিক থেকে বেশ ছিলাম। আমার যে সমস্যাটি হচ্ছে তা হ'ল আমাদের অ্যাডমিনদের সুডোর গ্রুপগুলিতে নিয়ে যাওয়া - আমি কিছু নিতে চাইছি না। আমি চেষ্টা করেছিলাম:

ক) usermod -aG sudoers [username]
খ) বেশ কয়েকটি ফরম্যাটে (DOMAIN adding ব্যবহারকারী, ব্যবহারকারী @ ডোমেন) sudoers ফাইলে ব্যবহারকারীর নাম যুক্ত করা।

যার মধ্যে কোনওটিই নেবে বলে মনে হয়নি, আমি এখনও বলেছি "DOMAIN \ ব্যবহারকারী সুডার্স ফাইলে নেই This এই ঘটনার প্রতিবেদন করা হবে।"

সুতরাং, আমি কীভাবে বেসরকারী ব্যবহারকারীদের sudoers এ যুক্ত করব?

আমি এই সমস্যার মুখোমুখি হয়েছি এবং আমার সমাধানটি এখানে:

সম্পাদনা করুন /etc/sudoers: নিম্নলিখিত এন্ট্রি সহ

কমান্ড আইডি ব্যবহার করে প্রথমে অ্যাডুজারটি পরীক্ষা করুন

#id <AD user>( #id domain\\aduser01 )

খনিতে ফলাফল:

SMB\aduser01@linux01:~/Desktop$ id smb\\aduser02
uid=914883676(SMB\aduser02) gid=914883073(SMB\domain^users) groups=914883073(SMB\domain^users),1544(BUILTIN\Administrators),1545(BUILTIN\Users),914883072(SMB\domain^admins)

getent passwdএবং gid NUMBERSআমার জন্য কাজ করে না। DOMAIN\\domain^usersআমার জন্য কাজ কর

%SMB\\domain^users ALL=(ALL) ALL

যেমনটি আমরা সবাই জানি পৃথক এডি ব্যবহারকারীরাও কাজ করে

SMB\\<aduser01> ALL=(ALL) ALL

আমাদের কাছে .local সুফিক্স সহ একটি দীর্ঘ ডোমেন নাম রয়েছে,

হিংস্র

%domainname\\group ALL=(ALL) ALL

না

%domainname.local\\group ALL=(ALL) ALL

কাজ করছে...

তবে আমি যদি কেবলমাত্র গ্রুপের নামটি ব্যবহার করি তবে:

%Domain^Admins ALL=(ALL) ALL

এটা কাজ করে।

অন্যান্য পরামর্শগুলির সাথে সমস্যাটি হ'ল

• আপনি কেবল কর্পোরেট ল্যান (বা ভিপিএন) এ অ্যাক্সেস পেলেই এগুলি কাজ করে
• আপনাকে সর্বদা প্রতিটি কম্পিউটারে সুডোর ফাইল বজায় রাখতে হবে
• বোনাস হিসাবে, তারা আমার পক্ষে কাজ করেনি - মোটেও নয়

পরিবর্তে, আমি কিছু যে চেয়েছিলেন

• শংসাপত্র এবং sudo অ্যাক্সেস উভয়ই ক্যাশে করে
• কেন্দ্রীয়ভাবে পরিচালিত হয়

আসল সমাধানটি এসএসএসডি ব্যবহার করে এবং এডি স্কিমাকে প্রসারিত করছে। এইভাবে এসএসএসডি এডি থেকে পর্যায়ক্রমে সুডো সেটিংস এবং ব্যবহারকারীর শংসাপত্রগুলি নিয়ে আসে এবং সেগুলির স্থানীয় ক্যাশে বজায় রাখে। Sudo বিধিগুলি তখন AD অবজেক্টে সংরক্ষণ করা হয়, যেখানে আপনি কম্পিউটার, ব্যবহারকারী এবং কমান্ড এমনকি এমনকি ওয়ার্কস্টেশনে কোনও sudoers ফাইল স্পর্শ না করে নিয়ম সীমাবদ্ধ করতে পারেন।

সঠিক টিউটোরিয়ালটি এখানে ব্যাখ্যা করার জন্য অনেক দীর্ঘ, তবে আপনি অটোমেশনে সহায়তা করার জন্য ধাপে ধাপে গাইড এবং কিছু স্ক্রিপ্টগুলি এখানে পেতে পারেন:

• অ্যাক্টিভ ডিরেক্টরি সহ উবুন্টুকে একীকরণ করা হচ্ছে

টি এল; ডিআর:

বিজ্ঞাপন

সর্বশেষ রিলিজ দখল উবুন্টু পেতে, ডক / schema.ActiveDirectory , ফাইল তারপর এটি আমদানি (আপনার ডোমেইন নাম অনুযায়ী ডোমেইন পথ পরিবর্তন করতে ভুলবেন না):

ldifde -i -f schema.ActiveDirectory -c "CN=Schema,CN=Configuration,DC=X" "CN=Schema,CN=Configuration,DC=ad,DC=foobar,DC=com" -j .

এডিএসআই সম্পাদনা সহ এটি যাচাই করুন: স্কিমা নামকরণ প্রসঙ্গটি খুলুন এবং সুডোরোল শ্রেণীর সন্ধান করুন।

এখন আপনার ডোমেন রুটে sudoers OU তৈরি করুন , এই OU আপনার সমস্ত লিনাক্স ওয়ার্কস্টেশনগুলির জন্য সমস্ত sudo সেটিংস ধারণ করবে। এই OU এর অধীনে একটি sudoRole অবজেক্ট তৈরি করুন। SudoRole অবজেক্টটি তৈরি করতে আপনাকে ADSI সম্পাদনাটি ব্যবহার করতে হবে, তবে একবার তৈরি হয়ে গেলে, আপনি এটি পরিবর্তন করতে সক্রিয় ডিরেক্টরি ব্যবহারকারী এবং কম্পিউটার ব্যবহার করতে পারেন ।

ধরা যাক আমার কাছে foo32linux নামে একটি কম্পিউটার রয়েছে , স্টিও.griffin নামে একটি ব্যবহারকারী এবং আমি তাকে এই কমপটিতে sudo দিয়ে সমস্ত কমান্ড চালাতে চাই। এই ক্ষেত্রে, আমি sudoers OU এর অধীনে একটি sudoRole অবজেক্ট তৈরি করি । SudoRole এর জন্য আপনি যে কোনও নাম ব্যবহার করতে পারেন - আমি প্রতি কম্পিউটারের নিয়ম ব্যবহার করার পরে থেকে আমি কম্পিউটারের নামের সাথে আছি। এখন এর বৈশিষ্ট্যগুলি নিম্নরূপে সেট করুন:

• sudoHost : foo32linux
• sudoCommand : সব
• sudoUser : stewie.griffin

কমান্ডগুলির জন্য আপনি নির্দিষ্ট বিন্যাসগুলি যেমন / বিন / কম বা যা কিছু ব্যবহার করতে পারেন ।

SSSD- র

আপনার /etc/sssd/sssd.conf এ যুক্ত করুন , কমপক্ষে:

[sssd]
services = nss, pam, sudo

[domain/AD.FOOBAR.COM]
cache_credentials = True

এসএসএসডি তার স্থানীয় ক্যাশে প্রতি কয়েক ঘন্টা আপডেট হওয়া নিয়মের সাথে সতেজ করে, তবে এটির পরীক্ষার সহজতম উপায় হ'ল কম্পিউটারকে রিবুট করা। তারপরে AD ব্যবহারকারীর সাথে লগ ইন করুন এবং চেক করুন:

sudo -l

এটি আপনাকে সেই ব্যবহারকারী এবং কম্পিউটারে যুক্ত সমস্ত সম্পর্কিত তালিকাভুক্ত করা উচিত। সহজ কিছু!

বিষয়টিতে আমি যে সর্বোত্তম তথ্য খুঁজে পেতে পারি তা এখানে:

http://www.mail-archive.com/likewise-open-discuss@lists.likewisesoftware.com/msg00572.html

এটি মূলত আপনাকে /etc/sudoersএডি তে আপনার প্রশাসকের গোষ্ঠীর লোকদের সমস্ত সুযোগ-সুবিধা পাওয়ার অনুমতি দেওয়ার জন্য সঠিক কনফিগারেশন সহ আপনার ফাইলটি সংশোধন করতে বলে।

আপনি যদি ব্যবহারকারীদের দ্বারা নির্বাচনী এবং সীমাবদ্ধ হওয়ার প্রয়োজন হয় তবে আপনি এটিও করতে পারেন। তবে এটি হুঁশিয়ারি দেয় যে লিনাক্স সিস্টেমে ব্যবহারকারীর নাম কী getend passwdহিসাবে প্রদর্শিত হবে সেভাবে কমান্ডটি ব্যবহার করে আপনাকে অবশ্যই তা নিশ্চিত করতে হবে ।

সেন্টিফাই ডাইরেক্ট ব্যবহার করে আমি ডোমেন ব্যবহারকারীকে / ইত্যাদি / সুডোর ফাইলগুলিতে যুক্ত করেছি।

(ডোমেন ব্যবহারকারী) সমস্ত = (সমস্ত) সমস্ত

আমি কমান্ড কমান্ড ব্যবহার করি

sudo usermod -a -G sudo DOMAIN\username 

এবং প্রতিস্থাপন DOMAIN\userসঙ্গে DOMAIN\\\username।