c‎ > ‎

1

13.4. Пример Настройка Sudo

Реализация Sudo требуется настройка конфигурации командной строки на сервере FreeIPA а затем настройки локального клиента SUDO искать соответствующей конфигурации.

13.4.1. Конфигурация сервера для SUDO Правил

  1. Необязательно. Настройка хоста группу, как описано в разделе 6.9, "Управление хозяине Группы".
  2. Необязательно. Создать группу пользователей и добавить пользователей, как описано в разделе 5.5.1, «Создание групп пользователей".
  3. Настройка пользователя привязки, установив пароль для FreeIPA Судо привязки пользователя по умолчанию.
    1. Операция пароль должен произойти через защищенное соединение. Для использования TLS / SSL, сначала экспортировать местоположение сертификата использовать для установления безопасного соединения:
       $ Экспорт LDAPTLS_CACERT = / и т.д. / IPA / ca.crt 
    2. Используя LDAP инструменты, установить пароль для пользователя SUDO, UID = Судо, сп = sysaccounts, сп = т.д., DC = пример, DC = COM:
       $ Ldappasswd-х-S-W-ч ipaserver.ipadocs.org-ZZ-Д "сп = Менеджер Справочника" UID = Судо, сп = sysaccounts, сп = т.д., DC = пример, DC = COM
          Новый пароль: 
          Повторно введите новый пароль: 
          Введите LDAP Пароль: 
  4. Настройка команд SUDO и группы команд, как описано в разделе 13.2, "Настройка команд SUDO и группы команд".
  5. Задайте правила SUDO, как описано в разделе 13.3, "Определение SUDO Правила".

13.4.2. Настройка клиента для SUDO Правил

Этот пример специально настраивает Fedora 16 клиент для правил SUDO. Файл конфигурации в пункте 3 отличается, в зависимости от платформы.
  1. Настройка Sudo смотреть в LDAP для файла sudoers.
     Вим / и т.д. / nsswitch.conf
    
    sudoers: файлы LDAP
    sudoers_debug: 1 
    Оставив вариант файлы на месте позволяет Судо, чтобы проверить его локальной конфигурации до проверки конфигурации FreeIPA LDAP основе.

    СОВЕТ

    Добавление параметра sudoers_debug помогает в устранении неполадок. Допустимые значения для этого параметра 0, 1, и 2. Документация Судо на http://www.gratisoft.us/sudo/readme_ldap.html имеет больше информации о отладки процесса.
  2. Настройка SSSD искать NIS сетевых групп.
    1. Добавьте следующую строку сразу после вступления ipa_server в др / SSSD / sssd.conf файле /:
       ldap_netgroup_search_base = сп = нг, сп = Compat, DC = пример, DC = COM 
    2. Перезапустите демон SSSD:
       # Обслуживание SSSD перезапуск 
  3. Измените файл NSS / конфигурации LDAP и добавьте следующие SUDO связанных строки в др / nslcd.conf файле /:
     BindDn UID = Судо, сп = sysaccounts, сп = т.д., DC = пример, DC = COM
    bindpw sudo_password
    
    SSL start_tls
    tls_cacertfile / и т.д. / IPA / ca.crt
    tls_checkpeer да
    
    bind_timelimit 5
    TimeLimit 15
    
    URI LDAP :/ / ipaserver.example.com LDAP :/ / backup.example.com: 3890
    sudoers_base НУ = SUDOers, DC = пример, DC = COM 
    Несколько серверов LDAP можно настроить в разделенных пробелами, именами, и другие варианты (как SSL и нестандартных портах) могут быть использованы с LDAP URL. Конфигурация Судо LDAP покрыта в SUDO страницам руководств, http://www.sudo.ws/sudo/man/1.8.2/sudoers.ldap.man.html.

    ВАЖНО

    URI директива должна дать полное доменное имя сервера LDAP, а не IP-адрес. В противном случае, Судо не может подключиться к серверу LDAP.
  4. Задайте имя для домена NIS в конфигурации SUDO. Судо использует NIS сетевые группы, то имя домена NIS должно быть установлено в конфигурации системы для Судо, чтобы иметь возможность найти группы узлов, используемых в sudoconfiguration FreeIPA:
     # Nisdomainname example.com 

    ВАЖНО

    Несмотря на то, Судо использует сетевые группы NIS стиле, не стоит иметь установленный сервер NIS. Сетевые группы требуют, чтобы доменное шекелей быть назван в их конфигурации, так Судо требует, чтобы домен NIS быть назван в честь сетевых групп. Однако, тот домен NIS на самом деле не должны существовать.

#auto

Subpages (9): 7 8 a g h m o p s
Comments