Введение

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. В правилах могут задаваться:

• пользователи (группы пользователей), к которым применяются правила;
• команды (группы команд), которые можно (нельзя) выполнять этим пользователям с применением sudo;
• хосты (группы хостов), на которых применяется правило;
• опции команды sudo, использующиеся при применении правила.

При использовании инициализации сервера контроллера (реплики) FreeIPA или при вводе клиента в домен FreeIPA система автоматически конфигурируется так, чтобы команда sudo использовал службы использовала доменную службу sssd как провайдера источник данных о разрешениях использования sudo. Эта конфигурация задается в файле /etc/nsswitch.conf:

sudoers: files sss

где:

• files — использовать данные из локального файла /etc/sudoers;
• sss — использовать данные, предоставленные службой sssd.

Служба sssd, в свою очередь, настроена  настроена таким образом, чтобы получать данные по правилам sudo от доменной службы каталогов (LDAP). Подробная информация по работе команды sudo приведена в справочной системе man sudo, man sudoers.

Команды

Добавление команды

Регистрация команд

Команды, которые будут далее использоваться в правилах sudo (т. е. которые далее могут выполняться от имени sudo указанными в правилах пользователями) должны быть зарегистрированы. Зарегистрировать можно любую команду, имеющуюся в системе, на которой будет применяться правило. Для регистрацииДля добавления новой команды:

1. Войти в webвеб-интерфейс FreeIPA;.
2. Перейти на во вкладку "Политика";.
3. Выбрать в выпадающем меню "Sudo " пункт "— Команды Sudo" и нажать "Добавить";.
4. В появившемся окне:

   1. Указать полный путь расположения команды, которая должна выполняться от имени sudo (например, текстовый редактор nano, имеющий полный путь для редактора nano — /usr/bin/nano);
      Узнать полный путь расположения команды можно командой which, например:

      Command
      which nano

      
      

      Примечание
      Пути расположения команд стандартны и обычно не зависят от системы, однако в случае нестандартных путей расположения системе может понадобиться получить пути на той машине, на которой будет применяться правило.

      
      

   2. Опционально указать описание команды в произвольной форме (например, Текстовый редактор nano):
      Image Modified 
      
      
   3. Для сохранения изменений нажать "кнопку Добавить". В результате указанная команда будет добавлена в список зарегистрированных команд:
      Image Modified
      

1. 1. 
      Далее эту команду можно будет использовать в правилах sudo.

Создание правила

Для создания нового правила sudo:

1. Перейти на во вкладку "Политика" ;.
2. В Выбрать в выпадающем меню "Sudo" выбрать пункт "— Правила Sudo";.
3. Нажать "Добавить";Для добавления нового правила нажать "Добавить" кнопку Добавить и ввести имя правила:.
4. Нажать "кнопку Добавить и изменить", после чего будет создано "пустое" правило и откроется форма настройки его параметров этого правила:
   Image Modified

   Настройка параметров правила
   

   При настройке правила задаются следующие параметры:

   1. 1. Раздел
   "
   1. 1. Основные
   "
   1. 1.  содержит поля:
      "
      1. 1. 1. Порядок
      sudo" -
      1. 1. 1. Sudo — необязательный приоритет правила.
      Целое число, определяющее
      1. 1. 1. Представляется целым числом, определяет очередность выполнения
      редактируемого
      1. 1. 1. правила. Правила с большим значением выполняются раньше;
      "
      1. 1. 1. Описание
      " -
      1. 1. 1. — необязательный комментарий к правилу;

         2. Раздел

      "

      1. 1. Параметры

      "

      1. 1. — параметры для

      команды 

      1. 1. команды sudo. Например, наиболее

      употребимая

      1. 1. распространенная опция

      -

      1. 1. — не запрашивать пароль у пользователя при использовании команды sudo (опция

      "

      1. 1. !authenticate

      ").

      1. 1. ). Если в правиле указать эту опцию, то указанные в правиле команды можно будет выполнять через sudo без ввода пароля, если опция не используется, то потребуется ввести пароль пользователя, выполняющего команду.
            

            Информация
            Полный список поддерживаемых параметров см. в справочной системе: Command man sudoers

            
            

         2. Раздел
      "
      1. 1. Кто
      " 
      1. 1. — список пользователей и групп пользователей, которым разрешено применять sudo в соответствии с правилом. Можно разрешить применять правило всем пользователям (группам пользователей);
         2. Раздел
      "
      1. 1. Получить доступ к узлу
      "
      1. 1. —
      выбор
      1. 1. список узлов в домене FreeIPA, на которых применяется правило. Можно разрешить применять правило на всех узлах;
         2. Раздел
      "
      1. 1. Выполнить команды
      "
      1. 1. — команды, к которым применяется данное правило. Возможно
      "Разрешить" или "Запретить"
      1. 1. разрешить или запретить выполнение команды или группы команд (порядок объединения команд
      в 
      1. 1. в группы см. далее), также возможно разрешить выполнять все команды;
         2. Раздел
      "
      1. 1. В качестве
      "
      1. 1. — от имени какого пользователя или группы пользователей (не root-пользователя) может быть выполнена команда. При добавлении группы пользователей в
      "
      1. 1. Группы пользователей запуска от имени
      "
      1. 1. для выполнения команды могут использоваться идентификаторы пользователей (UID) членов этой группы. При добавлении в
      "
      1. 1. Группы запуска от имени
      "
      1. 1. для выполнения команды могут использоваться GID этой группы.
      После
      1. Нажать кнопку Сохранить после внесения изменений в правило
      следует убедиться, что все изменения сохранены (кнопка "Сохранить" в начале формы и нажать эту кнопку для сохранения изменений если она доступна
      1. .

      Удаление или отключение правила
      

      Для удаления или отключения правила:

      1. Выбрать из списка правило, которое необходимо отключить или удалить;
      2. Для отключения правила нажать кнопку  "кнопку Отключить", для удаления — "Удалить":.

      Объединение команд в группу

      Для удобства управления команды можно объединять в группы. Для этого:

      1. Перейти на во вкладку "Политика";.
      2. В Выбрать в выпадающем меню "Sudo " выбрать пункт "— Группы команд Sudo";.
      3. Нажать "Добавить";Ввести кнопку Добавить и ввести имя группы;.
      4. Нажать "кнопку Добавить и изменить";Добавить  и добавить команды, который нужно которые следует объединить в группу.