Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Введение
FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo
для пользователей и групп пользователей. В правилах могут задаваться:
- Пользователи (группы пользователей), к которым применяются правила;
- Команды (группы команд), которые можно (нельзя) выполнять этим пользователям с применением sudo;
- Хосты (группы хостов), на которых применяется правило;
- Атрибуты команды sudo, применяющиеся при примении правила.
При инициализации контроллера (реплики) FreeIPA или при При использовании инициализации сервера или вводе клиента в домен FreeIPA система автоматически конфигурируется так, чтобы команда sudo
использовал службы использовала доменную службу sssd
как провайдера источник данных о разрешениях использования sudo. Эта конфигурация задается в файле /etc/nsswitch.conf
:
Блок кода |
---|
sudoers: files sss |
где:
files
— использовать данные из локального файла /etc/sudoers
;sss
— использовать данные, предоставленные службой sssd
.
Служба sssd
, в свою очередь, настроена таким образом, чтобы получать данные по правилам sudo
от доменной службы каталогов (LDAP). Подробная информация по работе команды sudo
приведена в справочной системе man sudo
, man sudoers
.
Предупреждение | ||||
---|---|---|---|---|
Правила Служба
Или воспользоваться инструментом
|
Команды
Добавление команды
Регистрация команды для использования в правилах sudo
Команды, которые будут далее использоваться в правилах sudo должны быть зарегистрированы. Зарегистрировать можно любую команду, имеющуюся в системе, на которой будет применяться правило. Для регистрацииДля добавления новой команды:
- Войти в web-интерфейс FreeIPA;
- Перейти на вкладку "Политика";
- Выбрать в выпадающем меню "Sudo" пункт "Команды Sudo" и нажать "Добавить";
- В появившемся окне:
Указать полный путь расположения команды, которая должна выполняться от имени sudo (например, текстовый редактор nano, имеющий полный путь /usr/bin/nano);
Узнать полный путь расположения команды можно командой which, например:Command which nano пути расположения команд стандартны и не обычно зависят от системы, однако в случае нестандартных системе может понадобиться получить пути на той машине, на которой будет применяться правило.
- Опционально указать описание команды в произвольной форме:
- Для сохранения изменений нажать "Добавить". В результате указанная команда будет добавлена в список зарегистрированных команд:
Создание правила sudo
Для создания нового правила sudo:
- Перейти на вкладку "Политика" ;
- В выпадающем меню "Sudo" выбрать пункт "Правила Sudo";
- Нажать "Добавить";
- Для добавления нового правила нажать "Добавить" и ввести имя правила:
- Нажать "Добавить" (будет создано "пустое" правило, которое можно отредактировать позже) или нажать "Добавить и изменить", после чего будет создано "пустое" правило и сразу откроется форма настройки параметров этого правила:
Настройка параметров правила sudo
При настройке параметров правила sudo задаются следующие параметры:
- Раздел "Основные":
- "Порядок sudo" - необязательный приоритет правила. Целое число, определяющее Представляется целым числом, определяет очередность выполнения редактируемого правила. Правила с большим значением выполняются раньше;
- "Описание" - необязательный комментарий к правилу;
Раздел "Параметры" — параметры для команды
sudo
. Например, наиболее употребимая опция - не запрашивать пароль у пользователя при использовании командыsudo
(опция "!authenticate"). Полный список поддерживаемых параметров см. в справочной системе:Command man sudoers Раздел "Кто" — список пользователей и групп пользователей, которым разрешено применять sudo в соответствии с правилом. Можно разрешить применять правило всем пользователям (группам);
Раздел "Получить доступ к узлу" — выбор список узлов в домене FreeIPA, на которых применяется правило. Можно разрешить применять правило на всех узлах;
Раздел "Выполнить команды" — команды, к которым применяется данное правило. Возможно "Разрешить" или "Запретить" выполнение команды или группы команд (порядок объединения команд в группы см. далее), также возможно разрешить выполнять все команды;
Раздел "В качестве" — от имени какого пользователя или группы пользователей (не root-пользователя) может быть выполнена команда. При добавлении группы пользователей в "Группы пользователей запуска от имени" для выполнения команды могут использоваться идентификаторы пользователей (UID) членов этой группы. При добавлении в "Группы запуска от имени" для выполнения команды могут использоваться GID этой группы.
После внесения изменений в правило следует убедиться, что все изменения сохранены (кнопка "Сохранить" в начале формы) и нажать эту кнопку для сохранения изменений если она доступна.
Удаление или отключение правила
Для удаления или отключения правила:
- Выбрать из списка правило, которое необходимо отключить или удалить;
- Для отключения правила нажать кнопку "Отключить", для удаления — "Удалить":.
Объединение команд в группу
Для удобства управления команды можно объединять в группы. Для этого:
- Перейти на вкладку "Политика";
- В выпадающем меню "Sudo" выбрать пункт "Группы команд Sudo";
- Нажать "Добавить";
- Ввести имя группы;
- Нажать "Добавить и изменить";
- Добавить команды, который нужно объединить в группу.