Справочный центр

Дерево страниц

Сравнение версий

Старая версия 18

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 19

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Введение

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании нативных команд ipa-server-install или ipa-client-install для развертывания инициализации сервера или ввода вводе клиента в домен система автоматически конфигурируется таким образомтак, чтобы sudo использовал SSSD службы sssd как провайдера данных, конфигурируя файл . Эта конфигурация задается в файле /etc/nsswitch.conf:

Commandcode
sudoers: files sss

где:

files — использовать данные из локального файла /etc/sudoers;
sss — использовать данные, предоставленные службой sssd.

SSSDСлужба sssd, в свою очередь, сконфигурирован сконфигурирована таким образом, чтобы получать данные по правилам sudo от LDAP-сервера (более подробная доменной службы каталогов (LDAP). Подробная информация по работе sudo приведена в справочной системе man sudo, man sudoers).

Предупреждение

Правила sudo не могут применяться к встроенной доменной группе хостов ipaserver, т.к. эта группа не имеет свойства mepmanagedentry, следовательно, не имеет в objectclass запись mepOriginEntry, что является необходимым условием необходимо для идентификации группы. Это является особенностью схемы в FreeIPA.

Для SSSD существует кэширование с TTL, Служба sssd выполняет кэширование данных с периодом обновления по умолчанию 5400 секунд. Для немедленного применения правил sudo необходимо этот очистить кэш очистить, выполнив на клиентской машине следующие команды:

Command

sudo systemctl stop sssd
sudo rm /var/lib/sss/db/*
sudo systemctl start sssd

Или воспользоваться утилитой sssctl, входящей в набор утилит sssd-tools:

Command
sudo sssctl cache-remove


Команды

Добавление команды

Для добавления новой команды необходимо войти :

  1. Войти в web-
интерфейс FreeIPA и перейти
  1. интерфейс FreeIPA;
  2. Перейти на вкладку
Policy, выбрать
  1. "Политика" ("Policy");
  2. Выбрать в выпадающем меню "Sudo" "Команды Sudo" ("Sudo Commands
и нажать Add.
  1. ") и нажать Add;
  2. В появившемся окне
необходимо
  1. указать полный путь расположения команды, которая должна выполняться от имени sudo (например, текстовый редактор vim.tiny: /usr/bin/vim.tiny) и, при необходимости, описание команды:
 
  1. Image Added


Объединение команд в группу

Команды можно

Image Removed

Также команды возможно объединять в группы команд. Для этого необходимо перейти в Policy Sudo — Sudo Command Group, нажать Add, ввести имя группы, нажать Add and Edit и добавить необходимые :

  1. Перейти в "Политика" ("Policy") — "Sudo" — "Группы команд Sudo" ("Sudo Command Group")
  2. Нажать "+Добавить" ("Add");
  3. Ввести имя группы;
  4. Нажать "Добавить и изменить" ("Add and Edit");
  5. Добавить объединяемые в группу команды.

Правила

Создание правила

Для создания нового правила необходимо перейти в Policy Sudo — Sudo Rules.:

  1. Перейти в "Политика" ("Policy") — "Sudo" — "Правила Sudo" ("Sudo Rules"):
    Image Modified
    Здесь представлен список всех имеющихся правил и отображено состояние этих правил — включено или выключено
. При нажатии на кнопку Add система запросит имя правила. После ввода имени нового правила необходимо нажать кнопку Add and Edit.
  1. ;
  2. Для добавления нового правила нажать "Добавить" ("Add") и ввести имя правила;
  3. Нажать "Добавить и изменить" ("Add and Edit").

Настройка правила

При настройке правиля задаются следующие параметры:

  • "Основные" ("General Options"):
    • "Порядок sudo" - необязательный приоритет правила. Целое число, определяющее очередность выполнения правила. Правила с большим значением выполняются раньше;
    • "Описание" - необязательный комментарий к правилу";

  • "Параметры" ("Options")

Настройка

Image Removed

Image Removed

Options

  • — параметры для sudo. Например, не запрашивать пароль у пользователя при использовании команды sudo (опция "!authenticate"). Полный список поддерживаемых параметров см. в справочной системе:

    Command
    man sudoers


  • "Кто" ("Who

— применять правила ко всем пользователям в домене FreeIPA или указать конкретных пользователей

  • ") — пользователи и группы пользователей, которым разрешено применять sudo в соответствии с правилом. Можно разрешить применять всем пользователям (группам);

  • "Получить доступ к узлу" ("Access this host

— применять правила на всех узлах

  • ") — выбор узлов в домене FreeIPA

или указать конкретные узлы и группы узлов.Run Commands

  • , на которых применяется правило.

Image Added

  • "Выполнить команды" ("Run Commands") — команды, к которым применяется данное правило. Возможно
указать Allow или Deny на
  • "Разрешить" ("Allow") или "Запретить" ("Deny") выполнение команды или группы команд
.
  • ;
  • "В качестве" ("As Whom
— каким пользователем или группой
  • ") — от имени какого пользователя или группы пользователей (не root-
пользователем
  • пользователя)
будет
  • может быть выполнена команда. При добавлении группы пользователей в
Group of 
  • "Группы пользователей запуска от имени" ("Groups of RunAs Users") для выполнения команды
будет
  • могут использоваться UID членов этой группы. При добавлении в "Группы запуска от имени" ("RunAs Groups") для выполнения команды
будет
  • могут использоваться GID этой группы.

Image Added

Удаление или отключение правила

Для удаления или отключения правила:

  1. Выбрать из списка правило, которое необходимо отключить или
удалить.
  1. удалит;
  2. Для отключения правила нажать
кнопку Disable
  1. кнопку  "Отключить" ("Disable"), для удаления —
 Delete
  1. "Удалить" ("Delete"):
    Image Modified