Я mate не использовал, но фраза «права в оболочке» звучит крайне странно. Оболочка просто рисует всякие штуки на экране, с теми правами что ей выдали. И права юзера по идее не зависят от того, через какую «оболочку» он что-то делает (включая командную строку). Уточни лучше что ты хочешь, а то, даже если это действительно что-то осмысленное, многие могут не понять вопрос.

Что значит админ в mate? В графической оболочке для управления рядом настроек разграничение настраивается через polkit.

В sudoers ты точно так же можешь добавить доменную группу.

Читай документацию дистрибутив: https://redos.red-soft.ru/base/redos-7_3/7_3-security/7_3-work-with-polkit/

И в целом polkit.

Существует механизм ролей, который соотносит доменные группы с локальными. Через него можно сделать доменного пользователя членом группы wheel.

Что такое «администратор Mate»?

Постараюсь ответить сразу всем. Доменную группу в sudoers я добавил. polkit читал, даже сделал рабочее правило, там всё понятно. Мне нужно, чтобы когда обычный пользователь домена заходил в Mate, он имел Standart права в оболочке. Например, не мог настраивать время, сеть, пользователей и прочее. Это сейчас и так работает. А чтобы когда заходил член группы админов AD, права были полные, чтобы например в консоли управления MAte у него стоял бы вид пользователя Admin. Это если расжевать.

Сейчас, если даже заходит пользователь из домена, и у него через группу AD появляются права sudo, в Mate у него такие же права как у простого пользователя.

«Администратор Mate», это тот пользователь, который имеет доступ ко всем настройкам в GUI, не вводя при этом пароль рута.

«Существует механизм ролей, который соотносит доменные группы с локальными. Через него можно сделать доменного пользователя членом группы wheel.» - вот можно про это хоть чуть подробнее?

у него стоял бы вид пользователя Admin.

Вид пользователя Admin устанавливается, если пользователь в группе wheel.

вот можно про это хоть чуть подробнее?

О, а это, оказывается, альтовая утилита, она есть только в ОС Альт. А что там в редос вместо неё, я даже не знаю, надо уточнять у знающих редос.

Вид пользователя Admin устанавливается, если пользователь в группе wheel.

Не только вид, но и права в Гуе Mate. Я вот и ищу способ засунуть в эту группу доменного пользователя, при его наличии в определённой доменной группе.

На пальцах: Логинюсь в Mate «обычным» юзером. Прав нет. Например настройки печати, системного времени, панель управления пользователями. Требует пароль рута для повышения, всё правильно. В sudoers добавляю доменную группу. Логинюсь в Mate юзером из этой группы. В консоли можно делать всё через sudo, без запроса пароля рута. В Mate - нет, всё равно для повышения требует пароль рута.

Нужно, чтобы администраторы из AD (члены определённой группы) при логине имели полные права и в консоли, и в графическом интерфейсе MAte.

Да, можно это сделать через polkit, написав много правил (и не факт, что на каждый элемент интерфейса есть свой action), но проще при логине добавлять таких пользователей в группу wheel. КАК?

Средствами sssd временное сопоставление на время активности сессии: https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/5/html/deployment_guide/config-sssd-domain-access

Или средствами pam.d

# format: services;ttys;users;times;groups
*;*;*@domain.local;Al;wheel

В pam.d:

session optional pam_group.so

В конфиги соответствующих сервисов.

Средствами sssd временное сопоставление на время активности сессии:

По ссылке не нашёл сопоставления локальных групп и групп AD.

access_provider = simple simple_allow_groups = itgroup

Это у меня и так в sssd прописано, но где тут сопоставление с локальной группой?

Крути тогда через pam.d или pam.d и pam_exec.

Ахаха! Сделал через pam.d, но mate всё равно считает, что пользователь - не админ, хотя у этого пользователя теперь по groups - есть группа wheel. Но по getent group wheel - там его нет.

Но по getent group wheel - там его нет.

getent точно смотрит /etc/nsswitch.conf
Что в файле указано?

Сделай скриптом, чтобы через usermod он добавлялся в группу, если его там нет, тоже через pam.d.

Generated by authselect

Do not modify this file manually, use authselect instead. Any user changes will be overwritten.

You can stop authselect from managing your configuration by calling ‘authselect opt-out’.

See authselect(8) for more details.

In order of likelihood of use to accelerate lookup.

passwd: files sss systemd pam

shadow: files sss

group: files sss systemd pam

hosts: files myhostname dns resolve [!UNAVAIL=return]

services: files sss

netgroup: files sss

automount: files sss

aliases: files

ethers: files

gshadow: files

networks: files dns

protocols: files

publickey: files

rpc: files

Можно пример для pam exec, чтобы для выполнения проверялось членство в группе?

#!/bin/bash
GRP=wheel
groups user | sed 's/ /\n/g' | grep -q -x "$GRP" || usermod -a -G $GRP user

Как передаётся имя пользователя в скрипт - посмотри в документации pam_exec.

Доменную группу в sudoers я добавил.

Покажите как.

И потом вывод в терминале: id user (тот юзер что якобы рут будет).