...
FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании нативных команд ipa-server-install или ipa-client-install для развертывания сервера или ввода клиента в домен система автоматически конфигурируется таким образом, чтобы sudo использовал SSSD как провайдера данных, конфигурируя файл /etc/nsswitch.conf:
...
SSSD в свою очередь сконфигурирован таким образом, чтобы получать данные по правилам sudo от LDAP-сервера (более подробная информация по работе sudo приведена в man sudo, man sudoers.
| Предупреждение | ||
|---|---|---|
|
...
Настройка правила
Options — указываются параметры для sudo. Например, не запрашивать пароль у пользователя при использовании команды sudo.
...
Access this host — возможно применять на всех узлах в домене FreeIPA или указать конкретные узлы и группы узлов.
Run Commands — указываются команды, к которым применяется данное правило. Возможно указание указать Allow или Deny на выполнение команды или группы команд.
As Whom — указываются каким пользователем или группой пользователей (не root-пользователем) будет выполнена команда. При добавлении группы пользователей в Group of RunAs Users для выполнения команды будет использоваться UID членов этой группы. При добавлении в RunAs Groups для выполнения команды будет использоваться GID этой группы.
...