...
FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo
для пользователей и групп пользователей. При использовании нативных команд ipa-server-install
или ipa-client-install
для развертывания сервера или ввода клиента в домен система автоматически конфигурируется таким образом, чтобы sudo
использовал SSSD как провайдера данных, конфигурируя файл /etc/nsswitch.conf
:
...
SSSD в свою очередь сконфигурирован таким образом, чтобы получать данные по правилам sudo
от LDAP-сервера (более подробная информация по работе sudo
приведена в man sudo
, man sudoers
.
Предупреждение | ||
---|---|---|
|
...
Настройка правила
Options — указываются параметры для sudo
. Например, не запрашивать пароль у пользователя при использовании команды sudo
.
...
Access this host — возможно применять на всех узлах в домене FreeIPA или указать конкретные узлы и группы узлов.
Run Commands — указываются команды, к которым применяется данное правило. Возможно указание указать Allow или Deny на выполнение команды или группы команд.
As Whom — указываются каким пользователем или группой пользователей (не root-пользователем) будет выполнена команда. При добавлении группы пользователей в Group of RunAs Users для выполнения команды будет использоваться UID членов этой группы. При добавлении в RunAs Groups для выполнения команды будет использоваться GID этой группы.
...