TUTOS.EU

Donner les droits pour sudo à un utilisateur sous Linux

Il est possible d'avoir un message d'erreur la première fois que l'on utilise la commande sudo

Pour y remédier, passez root avec cette commande et entrez le mot de passe du compte root

su -
Lien vers le fichier : cliquez ici Copier le code

Ensuite, ajouter le compte qui doit avoir les droits dans le groupe nommé sudo en adaptant cette commande

usermod -aG sudo loginaajouter
Lien vers le fichier : cliquez ici Copier le code

Exemple avec un login nommé myuser

Tapez ensuite exit pour quitter le compte root.
Puis, fermez et réouvrez votre session pour prendre en compte votre nouveau groupe

exit
Lien vers le fichier : cliquez ici Copier le code

Les autorisations pour utiliser sudo sont définies dans le fichier

/etc/sudoers

On peut le personnaliser et lui donner le nom de fichier que l'on souhaite en créer un fichier dans

/etc/sudoers.d

On peut donc imaginer créer un fichier nommé "admins" dans /etc/sudoers.d avec nano avec la commande, et un compte nommé "supercompte" qui n'aura pas à resaisir son mot de passe quand il utilisera sudo

nano /etc/sudoers.d/admins
Lien vers le fichier : cliquez ici Copier le code

Dans son contenu on peut placer par exemple le groupe des admins du domaine d'un AD
ainsi qu'un compte nommé supercompteavectouslesdroits

%\Admins\ du\ domaine     ALL=(ALL)   ALL
supercompte     ALL=(ALL)   NOPASSWD:ALL
Lien vers le fichier : cliquez ici Copier le code

Si vous voulez éditer directement le fichier /etc/sudoers, le mieux est d'utiliser l'outil visudo

En effet si vous faites une erreur dans son édition, cela revient à corrompre le fichier. De ce fait vous ne pourrez plus exécuter la commande sudo et corriger votre erreur.

L'outil visudo vous indiquera si il y a une erreur de syntaxe. C'est donc une sécurité.

Lancez visudo 

sudo visudo
Lien vers le fichier : cliquez ici Copier le code

Dans le fichier, on voit l'emplacement qui indique que les personnes qui sont dans le groupe sudo récupèrent tous les droits

Modifier le fichier sssd.conf

nano /etc/sssd/sssd.conf
Lien vers le fichier : cliquez ici Copier le code

Il faut adapter les lignes en bleu

krb5_store_password_if_offline = True 
default_shell = /bin/bash 
ldap_id_mapping = True 
use_fully_qualified_names = false 
fallback_homedir = /home/%u@%d 
access_provider = simple 
simple_allow_groups = Admins du domaine

Redémarrer le service

systemctl restart sssd
systemctl status sssd
Lien vers le fichier : cliquez ici Copier le code

Ajouter le groupe AD "Admins du domaine" dans le groupe SUDOERS

nano /etc/sudoers.d/admins
Lien vers le fichier : cliquez ici Copier le code

Mettre

%\Admins\ du\ domaine     ALL=(ALL)   ALL
Lien vers le fichier : cliquez ici Copier le code

2