Введение

FreeIPA позволяет настраивать правила разрешения и запрета на использование sudo для пользователей и групп пользователей. В правилах могут задаваться:

• пользователи (группы пользователей), к которым применяются правила;
• команды (группы команд), которые можно (нельзя) выполнять этим пользователям с применением sudo;
• хосты (группы хостов), на которых применяется правило;
• опции команды sudo, использующиеся при применении правила.

При инициализации контроллера (реплики) FreeIPA или при вводе клиента в домен FreeIPA система автоматически конфигурируется так, чтобы команда sudo использовала доменную службу sssd как источник данных о разрешениях использования sudo. Эта конфигурация задается в файле /etc/nsswitch.conf:

sudoers: files sss

• files — использовать данные из локального файла /etc/sudoers;
• sss — использовать данные, предоставленные службой sssd.

Служба sssd настроена таким образом, чтобы получать данные по правилам sudo от доменной службы каталогов (LDAP). Подробная информация по работе команды sudo приведена в справочной системе man sudo, man sudoers.

Регистрация команд

Команды, которые будут далее использоваться в правилах sudo (т. е. которые далее могут выполняться от имени sudo указанными в правилах пользователями) должны быть зарегистрированы. Зарегистрировать можно любую команду, имеющуюся в системе, на которой будет применяться правило. Для регистрации:

1. Войти в веб-интерфейс FreeIPA.
2. Перейти во вкладку Политика.
3. Выбрать в выпадающем меню Sudo — Команды Sudo и нажать Добавить.
4. В появившемся окне:

   1. Указать полный путь расположения команды, которая должна выполняться от имени sudo (например, для редактора nano — /usr/bin/nano);
      Узнать полный путь расположения команды можно командой which, например:

      which nano
      Пути расположения команд стандартны и обычно не зависят от системы, однако в случае нестандартных путей расположения системе может понадобиться получить пути на той машине, на которой будет применяться правило.
   2. Опционально указать описание команды в произвольной форме (например, Текстовый редактор nano):
       
      
      
   3. Для сохранения изменений нажать кнопку Добавить. В результате указанная команда будет добавлена в список зарегистрированных команд:
      
      
      Далее эту команду можно будет использовать в правилах sudo.

Создание правила

Для создания нового правила sudo:

1. Перейти во вкладку Политика.
2. Выбрать в выпадающем меню Sudo — Правила Sudo.
3. Нажать кнопку Добавить и ввести имя правила.
4. Нажать кнопку Добавить и изменить, будет создано "пустое" правило и откроется форма настройки его параметров:
   
   1. Раздел Основные содержит поля:
      1. Порядок Sudo — необязательный приоритет правила. Представляется целым числом, определяет очередность выполнения правила. Правила с большим значением выполняются раньше;
      2. Описание — необязательный комментарий к правилу;

   2. Раздел Параметры — параметры для команды sudo. Например, наиболее распространенная опция — не запрашивать пароль у пользователя при использовании команды sudo (опция !authenticate). Если в правиле указать эту опцию, то указанные в правиле команды можно будет выполнять через sudo без ввода пароля, если опция не используется, то потребуется ввести пароль пользователя, выполняющего команду.
      

      Полный список поддерживаемых параметров см. в справочной системе:
      

      man sudoers

   3. Раздел Кто — список пользователей и групп пользователей, которым разрешено применять sudo в соответствии с правилом. Можно разрешить применять правило всем пользователям (группам пользователей);
   4. Раздел Получить доступ к узлу — список узлов в домене FreeIPA, на которых применяется правило. Можно разрешить применять правило на всех узлах;
   5. Раздел Выполнить команды — команды, к которым применяется данное правило. Возможно разрешить или запретить выполнение команды или группы команд (порядок объединения команд в группы см. далее), также возможно разрешить выполнять все команды;
   6. Раздел В качестве — от имени какого пользователя или группы пользователей (не root-пользователя) может быть выполнена команда. При добавлении группы пользователей в Группы пользователей запуска от имени для выполнения команды могут использоваться идентификаторы пользователей (UID) членов этой группы. При добавлении в Группы запуска от имени для выполнения команды могут использоваться GID этой группы.
5. Нажать кнопку Сохранить после внесения изменений в правило.

Удаление или отключение правила

Для удаления или отключения правила:

1. Выбрать из списка правило, которое необходимо отключить или удалить;
2. Для отключения правила нажать кнопку Отключить, для удаления — Удалить.

Объединение команд в группу

Для удобства управления команды можно объединять в группы. Для этого:

1. Перейти во вкладку Политика.
2. Выбрать в выпадающем меню Sudo — Группы команд Sudo.
3. Нажать кнопку Добавить и ввести имя группы.
4. Нажать кнопку Добавить и изменить и добавить команды, которые следует объединить в группу.