Справочный центр

Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Алексей Осипов

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Введение

FreeIPA позволяет настраивать правила разрешения и запрета

...

на использование sudo для пользователей и групп пользователей. В правилах могут задаваться:

  • пользователи (группы пользователей), к которым применяются правила;
  • команды (группы команд), которые можно (нельзя) выполнять этим пользователям с применением sudo;
  • хосты (группы хостов), на которых применяется правило;
  • опции команды sudo, использующиеся при применении правила.

При инициализации контроллера (реплики) FreeIPA или при вводе клиента в домен FreeIPA система автоматически конфигурируется так, чтобы команда sudo использовала доменную службу sssd как источник данных о разрешениях использования sudo. Эта конфигурация задается в файле /etc/nsswitch.conf:

Блок кода
sudoers: files sss

где

  • files — использовать данные из локального файла /etc/sudoers;
  • sss — использовать данные, предоставленные службой sssd.

Служба sssd настроена таким образом, чтобы получать данные по правилам sudo от доменной службы каталогов (LDAP). Подробная информация по работе команды sudo приведена в справочной системе man sudo, man sudoers.

Предупреждение

Правила sudo не могут применяться к встроенной доменной группе хостов ipaserver, т. к. эта группа не имеет

...

свойства mepmanagedentry, следовательно, не имеет в objectclass запись mepOriginEntry, что

...

необходимо для идентификации группы. Это является особенностью схемы

...

в FreeIPA.

...

Служба sssd выполняет кеширование данных с периодом обновления по умолчанию 5400 секунд. Для немедленного применения правил sudo необходимо

...

очистить кеш, выполнив на клиентской машине следующие команды:

Command

sudo systemctl stop sssd
sudo rm /var/lib/sss/db/*
sudo systemctl start sssd

Описание процесса работы с правилами sudo

Добавление команд

Для добавления новой команды необходимо перейти в Policy - Sudo - Sudo Commands и нажать Add. В появившемся окне необходимо указать полный путь расположения команды и, при необходимости, описание команды. 

Image Removed

Так же команды возможно объединять в группы команд. Для этого необходимо перейти в Policy - Sudo - Sudo Command Group,нажать Add, ввести имя группы, нажать Add and Edit и добавить необходимые команды.

Добавление правила

Для создания нового правила необходимо перейти в Policy - Sudo - Sudo Rules.

Image Removed

Здесь представлен список всех имеющихся правил и отображено состояние этих правил - включено или выключено. При нажатии на кнопку Add, система запросит имя правила. После ввода имени нового правила необходимо нажать кнопку Add and Edit.

Настройка правила

Image Removed

Image Removed

Options

Или воспользоваться инструментом sssctl, входящим в пакет sssd-tools:

Command
sudo sssctl cache-remove


Регистрация команд

Команды, которые будут далее использоваться в правилах sudo (т. е. которые далее могут выполняться от имени sudo указанными в правилах пользователями) должны быть зарегистрированы. Зарегистрировать можно любую команду, имеющуюся в системе, на которой будет применяться правило. Для регистрации:

  1. Войти в веб-интерфейс FreeIPA.
  2. Перейти во вкладку Политика.
  3. Выбрать в выпадающем меню Sudo — Команды Sudo и нажать Добавить.
  4. В появившемся окне:

    1. Указать полный путь расположения команды, которая должна выполняться от имени sudo (например, для редактора nano — /usr/bin/nano);
      Узнать полный путь расположения команды можно командой which, например:

      Command
      which nano


      Примечание
      Пути расположения команд стандартны и обычно не зависят от системы, однако в случае нестандартных путей расположения системе может понадобиться получить пути на той машине, на которой будет применяться правило.


    2. Опционально указать описание команды в произвольной форме (например, Текстовый редактор nano):
      Image Added 

    3. Для сохранения изменений нажать кнопку Добавить. В результате указанная команда будет добавлена в список зарегистрированных команд:
      Image Added

      Далее эту команду можно будет использовать в правилах sudo.

Создание правила

Для создания нового правила sudo:

  1. Перейти во вкладку Политика.
  2. Выбрать в выпадающем меню Sudo — Правила Sudo.
  3. Нажать кнопку Добавить и ввести имя правила.
  4. Нажать кнопку Добавить и изменить, будет создано "пустое" правило и откроется форма настройки его параметров:
    Image Added
    1. Раздел Основные содержит поля:
      1. Порядок Sudo — необязательный приоритет правила. Представляется целым числом, определяет очередность выполнения правила. Правила с большим значением выполняются раньше;
      2. Описание — необязательный комментарий к правилу;

    2. Раздел Параметры — параметры для команды sudo. Например, наиболее распространенная опция —

...

    1. не запрашивать пароль у пользователя при использовании команды sudo (опция !authenticate).

...

Who

Правило возможно применять на всех пользователей в домене FreeIPA или указать конкретных пользователей и группы пользователей.

Access this host

Правило возможно применять на все узлы в домене FreeIPA или указать конкретные узлы и группы узлов.

Run Commands

В данном разделе указываются команды, на которые применяется данное правило. Возможно указание Allow или Deny на выполнение команды или группы команд.

As Whom

...

    1. Если в правиле указать эту опцию, то указанные в правиле команды можно будет выполнять через sudo без ввода пароля, если опция не используется, то потребуется ввести пароль пользователя, выполняющего команду.

      Информация

      Полный список поддерживаемых параметров см. в справочной системе:

      Command
      man sudoers



    2. Раздел Кто — список пользователей и групп пользователей, которым разрешено применять sudo в соответствии с правилом. Можно разрешить применять правило всем пользователям (группам пользователей);
    3. Раздел Получить доступ к узлу — список узлов в домене FreeIPA, на которых применяется правило. Можно разрешить применять правило на всех узлах;
    4. Раздел Выполнить команды — команды, к которым применяется данное правило. Возможно разрешить или запретить выполнение команды или группы команд (порядок объединения команд в группы см. далее), также возможно разрешить выполнять все команды;
    5. Раздел В качестве — от имени какого пользователя или группы пользователей (не root-

...

    1. пользователя)

...

    1. может быть выполнена команда. При добавлении группы пользователей

...

    1. в Группы пользователей запуска от имени для выполнения команды

...

    1. могут использоваться идентификаторы пользователей (UID) членов этой группы. При

...

    1. добавлении в Группы запуска от имени для выполнения команды

...

    1. могут использоваться GID этой группы.

Удаление правил

  1. Нажать кнопку Сохранить после внесения изменений в правило.

Удаление или отключение правила

Для удаления или отключения правила:

  1. Выбрать из списка правило, которое необходимо отключить или удалить;
  2. Для отключения правила нажать кнопку Отключить, для удаления — Удалить.

Объединение команд в группу

Для удобства управления команды можно объединять в группы. Для этого:

  1. Перейти во вкладку Политика.
  2. Выбрать в выпадающем меню Sudo — Группы команд Sudo.
  3. Нажать кнопку Добавить и ввести имя группы.
  4. Нажать кнопку Добавить и изменить и добавить команды, которые следует объединить в группу

...

  1. .