Ubuntu-fr

huggylesbonstuyaux

[RESOLU] Editer sudoers pour donner les droits sudo à un groupe AD

Bonjour,

Je vous prie de m'excuser par avance pour la longueur de mon post, mais avant de poser ma question, je souhaitais décrire comment j'en suis arrivé à me la poser.

* je suis directeur d'un établissement pour personnes déficientes intellectuelles dans lequel je souhaite pouvoir relayer en interne une activité d'initiation à l'informatique et à l'Internet. Un éducateur féru d'informatique m'accompagne dans la démarche.
* Autodidactes, nous sommes à la base des windowsiens... Mais afin de développer ce projet avec le peu de ressources financières que je peux y consacrer, je me suis naturellement tourner vers Linux, et en l'occurrence UBUNTU (UBUNTU prenant ainsi tout son sens d' "humanité aux autres"...). J'ai donc installé UBUNTU 8.10 sur un "vieux" poste du foyer avec, bien entendu, au départ un simple compte local "résident"
* Grâce à des recherches sur ce site et sur internet, j'ai réussi à intégrer ce poste sur le domaine de l'établissement (Windows server 2003). Cette intégration doit surtout nous permettre d'assurer un volume de stockage conséquent pour près de cinquante utilisateurs potentiels, de partager des fichiers et de centraliser les sauvegardes (comme pour les salariés finalement). J'ai créé dans l'AD des comptes test: un compte "ubuntuadministrateur" (DOMAIN\ubuntuadministrateur) pour l'éducateur et moi et un compte "utilisateur" (DOMAIN\résident) pour simuler un compte de résident. Je réussis sans souci à me logger sur UBUNTU avec ses comptes.

Maintenant, mon problème:

Je souhaiterais que le compte "DOMAIN\ubuntuadministrateur" puisse effectuer des tâches d'administration sans passer par la session du compte local.

Je m'explique:

- Ni l'éducateur, ni moi n'étant familiers avec les lignes de commande, nous utilisons la plupart du temps le mode graphique. Dans ce cas, par exemple pour faire des mises à jour ou lancer firestarter, UBUNTU me répond que je n'ai pas les privilèges sudo.
- Même en ligne de commande (le peu que j'apprends petit à petit, du style "sudo apt-get update") la commande sudo ne "fonctionne" pas avec les comptes AD (Erreur: "DOMAIN\administrateur is not in sudoers". En lisant la documentation sur la commande "sudo", Je sais désormais pouvoir contourner le problème avec la commande "su comptelocal" mais encore une fois elle est compliquée pour qui découvre et ne connaît pas toutes les subtilités de la ligne de commande.

Après recherche sur ce forum et sur internet, j'ai essayé d'ajouter le compte DOMAIN\administrateur dans sudoers en exécutant "sudo visudo", et en ajoutant une ligne "%DOMAIN\\ubuntuadministrateur ALL=(ALL) ALL" sans succès.
Après d'autres recherches, j'ai lu qu'il était plus confortable d'ajouter les groupes AD dans sudoers.  J'ai donc ajouté une ligne à la fin du fichier sudoers : "%DOMAIN\\admins du domaine ALL=(ALL) ALL". Vi me reproche alors une erreur de syntaxe. Nouvelle recherche où je m'aperçois que sudoers n'accepte pas les espaces. Dans les forums (et en tapant la commande "id" dans un terminal), on le trouve écrit avec des accents circonflexes à la place des espaces, mais vi refuse de les écrire.

D'où ma question: comment éditer sudoers pour donner les droits sudo à un groupe AD ?

Une fois le problème du groupe admins du domaine résolu, je pourrais faire de même pour le groupe utilisateurs du domaine.

Voilà donc plusieurs jours, et quelques soirées et nuits, que je tourne en rond sans trouver de solution. D'où mon appel à la communauté.

Je poursuis néanmoins des installations sur d'autres postes que je récupère ça et là pour les mettre prochainement à disposition des résidents, mais seulement avec des comptes locaux.

Je remercie par avance ceux qui voudront bien aider le débutant sur UBUNTU que je suis, et participer en cela à notre action en faveur des personnes déficientes intellectuelles.

Dernière modification par huggylesbonstuyaux (Le 29/03/2009, à 00:26)

huggylesbonstuyaux

Re : [RESOLU] Editer sudoers pour donner les droits sudo à un groupe AD

Bonsoir,

en fait, j'ai fini par trouver seul.

Avec un compte administrateur local, éditez sudoers par la commande "sudo visudo".

Ajoutez une dernière ligne "DOMAIN\\admins^du^domaine ALL=(ALL) ALL" en remplaçant évidemment "DOMAIN" par votre nom de domaine. Le \\ n'est pas une erreur de frappe et semble, après recherches, indispensable (pour une raison que j'ignore).

Pour la frappe des "^", il suffit de taper "espace" après avoir tapé la touche "^"...

Je précise que cette manipulation est valable pour l'ensemble des groupes d'utilisateurs présents dans l'AD. Il suffit alors de modifier les droits (ALL) en conséquence.