...
FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании нативные нативных команд ipa-server-install
или ipa-client-install
для развертывания сервера или ввода клиента в домен , система автоматически конфигурируется таким образом, чтобы sudo использовал sssd SSSD как провайдера данных, конфигурируя файл /etc/nsswitch.conf
:
Блок кода |
---|
sudoers: files sss |
где
files
- — использовать данные из/etc/sudoers
;sss
- — использовать данные, предоставленныеsssd
.
Sssd SSSD в свою очередь сконфигурирован таким образом, чтобы получать данные по Правилам правилам sudo
от LDAP-сервера . За более подробной информацией (более подробная информация по работе sudo стоит обращаться приведена в man sudo
, man sudoers
.
Предупреждение | ||||
---|---|---|---|---|
|
...
Процесс работы с правилами sudo
Добавление команд
Для добавления новой команды необходимо перейти в Policy - — Sudo - — Sudo Commands и нажать Add. В появившемся окне необходимо указать полный путь расположения команды и, при необходимости, описание команды.:
Так же Также команды возможно объединять в группы команд. Для этого необходимо перейти в Policy - — Sudo - — Sudo Command Group, нажать нажать Add, ввести имя группы, нажать Add and Edit и добавить необходимые команды.
...
Для создания нового правила необходимо перейти в Policy - — Sudo - — Sudo Rules.
Здесь представлен список всех имеющихся правил и отображено состояние этих правил - — включено или выключено. При нажатии на кнопку кнопку Add, система система запросит имя правила. После ввода имени нового правила необходимо нажать кнопку Add and Edit.
Настройка правила
Options
...
В данном пункте — указываются параметры для sudo. Например, не запрашивать пароль у пользователя при использовании команды sudo
.
Who
...
Правило — возможно применять на всех пользователей ко всем пользователям в домене FreeIPA или указать конкретных пользователей и группы пользователей.
Access this host
...
Правило — возможно применять на все узлы всех узлах в домене FreeIPA или указать конкретные узлы и группы узлов.
Run Commands
...
В данном разделе — указываются команды, на которые к которым применяется данное правило. Возможно указание Allow или Deny на выполнение команды или группы команд.
As Whom
...
В данном разделе возможно указать в качестве какого пользователя или группы — указываются каким пользователем или группой пользователей (не root-пользователем) будет выполнена команда. При добавлении группы пользователей в в Group of RunAs Users, для выполнения команды будет использоваться UID членов этой группы. При добавлении RunAs Group, то добавлении в RunAs Groups для выполнения команды будет использовать использоваться GID этой группы.
Удаление правил
...