Справочный центр

Дерево страниц

Сравнение версий

Старая версия 5

changes.mady.by.user Алексей Осипов

Сохранено

по сравнению с

Новая версия 6

changes.mady.by.user Вероника Затолокина

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании нативные нативных команд ipa-server-install или ipa-client-install для развертывания сервера или ввода клиента в домен , система автоматически конфигурируется таким образом, чтобы sudo использовал sssd SSSD как провайдера данных, конфигурируя файл /etc/nsswitch.conf:

Блок кода
sudoers: files sss

где

  • files - использовать данные из /etc/sudoers;
  • sss - использовать данные, предоставленные sssd.

Sssd SSSD в свою очередь сконфигурирован таким образом, чтобы получать данные по Правилам правилам sudo от LDAP-сервера .  За более подробной информацией (более подробная информация по работе sudo стоит обращаться приведена в man sudo, man sudoers.

Предупреждение
  1. Правила sudo не могут применяться к встроенной группе хостов ipaserver, т.к. эта группа не имеет свойство свойства mepmanagedentry, следовательно не имеет в objectclass запись mepOriginEntry, что является необходимым условием для идентификации группы. Это является особенностью схемы во в FreeIPA.

  2. Для

    sssd

    SSSD существует кэширование с TTL, по умолчанию 5400. Для немедленного применения правил sudo необходимо этот кэш очистить, выполнив следующие команды:

command
  1. Блок кода
    systemctl stop sssd
  1. 
rm /var/lib/sss/db/*
  1. 
systemctl start sssd

...


Процесс работы с правилами sudo

Добавление команд

Для добавления новой команды необходимо перейти в Policy - Sudo - Sudo Commands и нажать Add. В появившемся окне необходимо указать полный путь расположения команды и, при необходимости, описание команды.: 

Так же Также команды возможно объединять в группы команд. Для этого необходимо перейти в Policy - Sudo - Sudo Command Group, нажать нажать Add, ввести имя группы, нажать Add and Edit и добавить необходимые команды.

...

Для создания нового правила необходимо перейти в Policy - Sudo - Sudo Rules.

Здесь представлен список всех имеющихся правил и отображено состояние этих правил - включено или выключено. При нажатии на кнопку кнопку Add, система  система запросит имя правила. После ввода имени нового правила необходимо нажать кнопку Add and Edit.

Настройка правила

Options

...

В данном пункте указываются параметры для sudo. Например, не запрашивать пароль у пользователя при использовании команды sudo.

Who

...

Правило возможно применять на всех пользователей ко всем пользователям в домене FreeIPA или указать конкретных пользователей и группы пользователей.

Access this host

...

Правило возможно применять на все узлы всех узлах в домене FreeIPA или указать конкретные узлы и группы узлов.

Run Commands

...

В данном разделе указываются команды, на которые к которым применяется данное правило. Возможно указание Allow или Deny на выполнение команды или группы команд.

As Whom

...

В данном разделе возможно указать в качестве какого пользователя или группы — указываются каким пользователем или группой пользователей (не root-пользователем) будет выполнена команда. При добавлении группы пользователей в в Group of RunAs Users, для выполнения команды будет использоваться UID членов этой группы. При добавлении RunAs Group, то добавлении в RunAs Groups для выполнения команды будет использовать использоваться GID этой группы.

Удаление правил

...