Справочный центр

Дерево страниц

Сравнение версий

Старая версия 15

changes.mady.by.user Вероника Затолокина

Сохранено

по сравнению с

Новая версия 16

changes.mady.by.user Вероника Затолокина

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании нативных команд ipa-server-install или ipa-client-install для развертывания сервера или ввода клиента в домен система автоматически конфигурируется таким образом, чтобы sudo использовал SSSD как провайдера данных, конфигурируя файл /etc/nsswitch.conf:

Блок кодаcommand
sudoers: files sss

где

files — использовать данные из /etc/sudoers;

sss — использовать данные, предоставленные sssd.

SSSD, в свою очередь, сконфигурирован таким образом, чтобы получать данные по правилам sudo от LDAP-сервера (более подробная информация по работе sudo приведена в man sudo, man sudoers).

Предупреждение

Правила sudo не могут применяться к встроенной группе хостов ipaserver, т.к. эта группа не имеет свойства mepmanagedentry, следовательно, не имеет в objectclass запись mepOriginEntry, что является необходимым условием для идентификации группы. Это является особенностью схемы в FreeIPA.

Для SSSD существует кэширование с TTL, по умолчанию — 5400 секунд. Для немедленного применения правил sudo необходимо этот кэш очистить, выполнив следующие команды:

Блок кодаcommand

sudo

systemctl

stop

sssd

sudo

rm

/var/lib/sss/db/*

sudo

systemctl

start

sssd

Или воспользоваться утилитой sssctl, входящей в набор утилит sssd-tools:

Блок кодаcommand
sudo sssctl cache-remove


Команды

Добавление

Для добавления новой команды необходимо войти в web-интерфейс FreeIPA и перейти на вкладку Policy, выбрать в выпадающем меню Sudo — Sudo Commands и нажать Add. В появившемся окне необходимо указать полный путь расположения команды и, при необходимости, описание команды: 

...