Справочный центр

Дерево страниц

Сравнение версий

Старая версия 18

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 и исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Введение

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании нативных команд ipa-server-install или ipa-client-install для развертывания сервера или ввода клиента в домен система автоматически конфигурируется таким образом, чтобы sudo использовал SSSD как провайдера данных, конфигурируя файл В правилах могут задаваться:

  • пользователи (группы пользователей), к которым применяются правила;
  • команды (группы команд), которые можно (нельзя) выполнять этим пользователям с применением sudo;
  • хосты (группы хостов), на которых применяется правило;
  • опции команды sudo, использующиеся при применении правила.

При инициализации контроллера (реплики) FreeIPA или при вводе клиента в домен FreeIPA система автоматически конфигурируется так, чтобы команда sudo использовала доменную службу sssd как источник данных о разрешениях использования sudo. Эта конфигурация задается в файле /etc/nsswitch.conf:

Commandcode
sudoers: files sss

где

  • files — использовать данные из локального файла /etc/sudoers;
  • sss — использовать данные, предоставленные службой sssd.

SSSD, в свою очередь, сконфигурирован Служба sssd настроена таким образом, чтобы получать данные по правилам sudo от LDAP-сервера (более подробная доменной службы каталогов (LDAP). Подробная информация по работе команды sudo приведена в справочной системе man sudo, man sudoers).

Предупреждение

Правила sudo не могут применяться к встроенной доменной группе хостов ipaserver, т. к. эта группа не имеет свойства mepmanagedentry, следовательно, не имеет в objectclass запись mepOriginEntry, что является необходимым условием необходимо для идентификации группы. Это является особенностью схемы в FreeIPA.

Для SSSD существует кэширование с TTL, Служба sssd выполняет кеширование данных с периодом обновления по умолчанию 5400 секунд. Для немедленного применения правил sudo необходимо этот кэш очистить кеш, выполнив на клиентской машине следующие команды:

Command

sudo systemctl stop sssd
sudo rm /var/lib/sss/db/*
sudo systemctl start sssd

Или воспользоваться утилитой инструментом sssctl, входящей входящим в набор утилит пакет sssd-tools:

Command
sudo sssctl cache-remove


Регистрация команд

Команды

Добавление

Для добавления новой команды необходимо войти в web-интерфейс FreeIPA и перейти на вкладку Policy, выбрать

, которые будут далее использоваться в правилах sudo (т. е. которые далее могут выполняться от имени sudo указанными в правилах пользователями) должны быть зарегистрированы. Зарегистрировать можно любую команду, имеющуюся в системе, на которой будет применяться правило. Для регистрации:

  1. Войти в веб-интерфейс FreeIPA.
  2. Перейти во вкладку Политика.
  3. Выбрать в выпадающем меню Sudo — Команды Sudo
Commands
  1. и
нажать Add
  1. нажать Добавить.
  2. В появившемся окне
необходимо указать
  1. :

    1. Указать полный путь расположения команды

и, при необходимости, описание команды: 

    1. , которая должна выполняться от имени sudo (например, для редактора nano — /usr/bin/nano);
      Узнать полный путь расположения команды можно командой which, например:

      Command
      which nano


      Примечание
      Пути расположения команд стандартны и обычно не зависят от системы, однако в случае нестандартных путей расположения системе может понадобиться получить пути на той машине, на которой будет применяться правило.


    2. Опционально указать описание команды в произвольной форме (например, Текстовый редактор nano):
      Image Added 

    3. Для сохранения изменений нажать кнопку Добавить. В результате указанная команда будет добавлена в список зарегистрированных команд:
      Image Added

      Далее эту команду можно будет использовать в правилах sudo.

Создание правила

Для создания нового правила sudo:

  1. Перейти во вкладку Политика.
  2. Выбрать в выпадающем меню Sudo — Правила Sudo.
  3. Нажать кнопку Добавить и ввести имя правила.
  4. Нажать кнопку Добавить и изменить, будет создано "пустое" правило и откроется форма настройки его параметров:
    Image Added
    1. Раздел Основные содержит поля:
      1. Порядок Sudo — необязательный приоритет правила. Представляется целым числом, определяет очередность выполнения правила. Правила с большим значением выполняются раньше;
      2. Описание — необязательный комментарий к правилу;

    2. Раздел Параметры — параметры для команды sudo. Например, наиболее распространенная опция —

Image Removed

Также команды возможно объединять в группы команд. Для этого необходимо перейти в Policy Sudo — Sudo Command Group, нажать Add, ввести имя группы, нажать Add and Edit и добавить необходимые команды.

Правила

Создание

Для создания нового правила необходимо перейти в Policy Sudo — Sudo Rules.

Image Removed

Здесь представлен список всех имеющихся правил и отображено состояние этих правил — включено или выключено. При нажатии на кнопку Add система запросит имя правила. После ввода имени нового правила необходимо нажать кнопку Add and Edit.

Настройка

Image Removed

Image Removed

Options — параметры для sudo. Например,

    1. не запрашивать пароль у пользователя при использовании команды sudo (опция !authenticate).

Who — применять правила ко всем пользователям в домене FreeIPA или указать конкретных пользователей и группы пользователей.

Access this host — применять правила на всех узлах в домене FreeIPA или указать конкретные узлы и группы узлов.

Run Commands

    1. Если в правиле указать эту опцию, то указанные в правиле команды можно будет выполнять через sudo без ввода пароля, если опция не используется, то потребуется ввести пароль пользователя, выполняющего команду.

      Информация

      Полный список поддерживаемых параметров см. в справочной системе:

      Command
      man sudoers



    2. Раздел Кто — список пользователей и групп пользователей, которым разрешено применять sudo в соответствии с правилом. Можно разрешить применять правило всем пользователям (группам пользователей);
    3. Раздел Получить доступ к узлу — список узлов в домене FreeIPA, на которых применяется правило. Можно разрешить применять правило на всех узлах;
    4. Раздел Выполнить команды — команды, к которым применяется данное правило. Возможно
указать Allow
    1. разрешить или
Deny на
    1. запретить выполнение команды или группы команд (порядок объединения команд в группы см.
As Whom — каким пользователем или группой
    1. далее), также возможно разрешить выполнять все команды;
    2. Раздел В качестве — от имени какого пользователя или группы пользователей (не root-
пользователем
    1. пользователя)
будет
    1. может быть выполнена команда. При добавлении группы пользователей в
Group of RunAs Users
    1. Группы пользователей запуска от имени для выполнения команды
будет
    1. могут использоваться идентификаторы пользователей (UID) членов этой группы. При добавлении в
RunAs Groups
    1. Группы запуска от имени для выполнения команды
будет
    1. могут использоваться GID этой группы.
  2. Нажать кнопку Сохранить после внесения изменений в правило.

Удаление или отключение правила

Для удаления или отключения правила:

  1. Выбрать из списка правило, которое необходимо отключить или удалить
.
  1. ;
  2. Для отключения правила нажать кнопку
 Disable
  1. Отключить, для удаления —
 Delete:
  1. Удалить.

Объединение команд в группу

Для удобства управления команды можно объединять в группы. Для этого:

  1. Перейти во вкладку Политика.
  2. Выбрать в выпадающем меню Sudo — Группы команд Sudo.
  3. Нажать кнопку Добавить и ввести имя группы.
  4. Нажать кнопку Добавить и изменить и добавить команды, которые следует объединить в группу.
Image Removed