Введение

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. При использовании инициализации сервера или вводе клиента в домен система автоматически конфигурируется так, чтобы sudo использовал службы sssd как провайдера данных. Эта конфигурация задается в файле /etc/nsswitch.conf:

sudoers: files sss

files — использовать данные из локального файла /etc/sudoers;
sss — использовать данные, предоставленные службой sssd.

Служба sssd, в свою очередь, настроена таким образом, чтобы получать данные по правилам sudo от доменной службы каталогов (LDAP). Подробная информация по работе команды sudo приведена в справочной системе man sudo, man sudoers.

Команды

Добавление команды

Для добавления новой команды:

1. Войти в web-интерфейс FreeIPA;
2. Перейти на вкладку "Политика";
3. Выбрать в выпадающем меню "Sudo" пункт "Команды Sudo" и нажать "Добавить";
4. В появившемся окне:

   1. Указать полный путь расположения команды, которая должна выполняться от имени sudo (например, текстовый редактор nano, имеющий полный путь /usr/bin/nano);
      Узнать полный путь можно командой which:

      which nano

   2. Опционально указать описание команды в произвольной форме:
       
      
      
   3. Для сохранения изменений нажать "Добавить". В результате указанная команда будет добавлена в список команд:
      

Правила

Создание правила

Для создания нового правила:

1. Перейти на вкладку "Политика" ;
2. В выпадающем меню "Sudo" выбрать пункт "Правила Sudo";
3. Нажать "Добавить";
4. Для добавления нового правила нажать "Добавить" и ввести имя правила:
5. Нажать "Добавить и изменить", после чего откроется форма настройки правила:
   

Настройка правила

При настройке правила задаются следующие параметры:

• "Основные" ("General Options"):
  
  • "Порядок sudo" - необязательный приоритет правила. Целое число, определяющее очередность выполнения правила. Правила с большим значением выполняются раньше;
  • "Описание" - необязательный комментарий к правилу";

• "Параметры" ("Options") — параметры для sudo. Например, наиболее употребимая опция - не запрашивать пароль у пользователя при использовании команды sudo (опция "!authenticate"). Полный список поддерживаемых параметров см. в справочной системе:

  man sudoers

• "Кто" ("Who") — пользователи и группы пользователей, которым разрешено применять sudo в соответствии с правилом. Можно разрешить применять всем пользователям (группам);

• "Получить доступ к узлу" ("Access this host") — выбор узлов в домене FreeIPA, на которых применяется правило.

• "Выполнить команды" ("Run Commands") — команды, к которым применяется данное правило. Возможно "Разрешить" ("Allow") или "Запретить" ("Deny") выполнение команды или группы команд;
• "В качестве" ("As Whom") — от имени какого пользователя или группы пользователей (не root-пользователя) может быть выполнена команда. При добавлении группы пользователей в "Группы пользователей запуска от имени" ("Groups of RunAs Users") для выполнения команды могут использоваться UID членов этой группы. При добавлении в "Группы запуска от имени" ("RunAs Groups") для выполнения команды могут использоваться GID этой группы.

Удаление или отключение правила

Для удаления или отключения правила:

1. Выбрать из списка правило, которое необходимо отключить или удалит;
2. Для отключения правила нажать кнопку  "Отключить" ("Disable"), для удаления — "Удалить" ("Delete"):
   

Объединение команд в группу

Команды можно объединять в группы. Для этого:

1. Перейти на вкладку "Политика";
2. В выпадающем меню "Sudo" выбрать пункт "Группы команд Sudo";
3. Нажать "Добавить";
4. Ввести имя группы;
5. Нажать "Добавить и изменить";
6. Добавить объединяемые в группу команды.