Справочный центр

Дерево страниц

Сравнение версий

Старая версия 12

changes.mady.by.user Алексей Осипов

Сохранено

по сравнению с

Новая версия 13

changes.mady.by.user Вероника Затолокина

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании нативных команд ipa-server-install или ipa-client-install для развертывания сервера или ввода клиента в домен система автоматически конфигурируется таким образом, чтобы sudo использовал SSSD как провайдера данных, конфигурируя файл /etc/nsswitch.conf:

...

  • files — использовать данные из /etc/sudoers;
  • sss — использовать данные, предоставленные sssd.

SSSD, в свою очередь, сконфигурирован таким образом, чтобы получать данные по правилам sudo от LDAP-сервера (более подробная информация по работе sudo приведена в man sudo, man sudoers).

Предупреждение

Правила sudo не могут применяться к встроенной группе хостов ipaserver, т.к. эта группа не имеет свойства mepmanagedentry, следовательно, не имеет в objectclass запись mepOriginEntry, что является необходимым условием для идентификации группы. Это является особенностью схемы в FreeIPA.

Для SSSD существует кэширование с TTL, по умолчанию — 5400 секунд. Для немедленного применения правил sudo необходимо этот кэш очистить, выполнив следующие команды:

Блок кода
sudo systemctl stop sssd
sudo rm /var/lib/sss/db/*
sudo systemctl start sssd

Или воспользоваться утилитой sssctl, входящей в набор утилит sssd-tools:

Блок кода
sudo sssctl cache-remove


Команды

Добавление

Для добавления новой команды необходимо зайти в WebUI FreeIPA войти в web-интерфейс FreeIPA и перейти на вкладку Policy,выбрать в ниспадающем меню выпадающем меню Sudo - Sudo Commands и нажать Add. В появившемся окне необходимо указать полный путь расположения команды и, при необходимости, описание команды: 

...