8‎ > ‎

q

Глава 13 Политика:. Использование Судо

13.1. О Судо и ПНД
13.1.1. Общая конфигурация Судо в FreeIPA
13.1.2. Судо и Сетевые группы
13.1.3. Поддерживаемые клиенты Sudo
13.2. Настройка SUDO команды и командные группы
13.2.1. Добавление команд SUDO
13.2.2. Добавление SUDO группы команд
13.3. Определение SUDO Правила
13.3.1. Определение SUDO Правила в веб-интерфейс
13.3.2. Определение SUDO Правила в командной строке
13.4. Пример Настройка Sudo
13.4.1. Конфигурация сервера для SUDO Правил
13.4.2. Настройка клиента для SUDO Правил
FreeIPA обеспечивает механизм для предсказуемо и последовательно применять политики SUDO в домене FreeIPA. В sudopolicies распространяется на пользователей домена и хостинга доменов. 13.1. О Судо и ПНД Команда Судо позволяет системному администратору делегировать полномочия определенным пользователям запускать определенные команды, как корень ро другого указанного пользователя. Судо предоставляет аудита команд и их аргументов, поэтому доступ могут быть отслежены.

13.1.1. Общая конфигурация Судо в FreeIPA

Судо использует локальный файл конфигурации, / и т.д. / sudoers, который определяет команды и пользователей с доступом SUDO. В то время как этот файл может быть поделен машин, нет никакой родной способ распространения файлов конфигурации SUDO среди machines.FreeIPA не использует свою централизованную базу данных LDAP, чтобы содержать конфигурацию SUDO, что делает его глобально доступны для всех хостов домена. FreeIPA также имеет специализированную схему LDAP для записей SUDO, что позволяет гораздо более гибким и более простой настройки. Эта схема добавляет две ключевые особенности:
  • Схема FreeIPA поддерживает группы узлов в дополнение к сетевых групп для Судо, а Судо поддерживает только netgroups.For каждый хост группу, FreeIPA также создает соответствующую тень сетевую группу. Это позволяет FreeIPA администраторам создавать правила SUDO, которые ссылаются на группы узлов, в то время как команда местного Судо использует соответствующий сетевую группу.
  • FreeIPA вводит понятие группы команд SUDO. Группа содержит несколько команд, а затем группа команд можно ссылаться в конфигурации SUDO.
Потому Судо браузер не поддерживает группы узлов и группы команд, FreeIPA переводит конфигурацию SUDO FreeIPA в родной конфигурации SUDO когда правила Sudo являются created.Both Судо и FreeIPA поддержки групп пользователей как часть конфигурации SUDO. Группы пользователей могут быть либо Unix или не POSIX группы. Создание не-POSIX группы может создать некоторые проблемы доступа, потому что любые пользователи в группе наследовать неимущественные права POSIX из группы. Имея выбор между Unix и не-POSIX групп позволяет администраторам выбор в группе Форматирование и избежать проблем с унаследованными разрешениями или GID информации.

13.1.2. Судо и Сетевые группы

Как Раздел 13.1.1, «Общие настройки Судо в FreeIPA" упоминает, LDAP Схема, применяемая для записей SUDO в FreeIPA поддерживает группы узлов группа стиле в дополнение к сетевых групп. Действительно, FreeIPA создает две группы, видимый группу узлов и теневую сетевую группу. Сам Судо поддерживает только сетевые группы NIS стиле для группы formats.One важная вещь для рассмотрения является то, что несмотря на то, Судо использует NIS сетевые группы, это не программы необходимо установить сервер NIS или клиент NIS настроен. Когда любая группа создается для Судо, объект шекелей создается в экземпляре Directory Server, а затем информация извлекается nss_ldap или SSSD. Клиент (в данном случае, Судо) извлекает необходимую информацию NIS из информации, предоставленной FreeIPA Справочник Server.In Короче говоря, конфигурация Судо необходимую NIS-отформатированные сетевые группы. Она не требует NIS.The FreeIPA экземпляр Directory Server использует стандартный LDAP схему для объектов NIS, определены в RFC 2307.

13.1.3. Поддерживаемые клиенты Sudo

Любая система, которая поддерживается в качестве клиентской системы FreeIPA можно настроить в качестве клиента SUDO в FreeIPA. Клиентские FreeIPA платформы перечислены в разделе 3.2, "Поддерживаемые платформы для FreeIPA клиентов".

#auto

Subpages (6): 1 3 a d m x
Comments