LDAPを使用してsudoer情報を保管する方法

1

私たちはLDAPサーバーとたくさんの作業サーバーを持っています。私達のユーザーの情報はLDAPにあります http://fclose.com/b/281/ 。しかし、sudoersリストは/ etc / sudoersに保存されています。今問題はそれの中心的な制御があるようにLDAPにsudoersリストを保存する方法です。

私達はLDAPサーバーと作業サーバーの両方でFedora 12を使用しています。

ldap  sudoers 
ericzma
ソース

回答:

3

からの公式の指示に従ってください README.LDAP 、 そしてその sudoers.ldap マニュアルページ

  1. 確認してください sudo LDAPサポートで構築されています。
  2. LDAPスキーマを更新します。
  3. インポート sudoers LDAPにファイルします。
  4. を設定 sudoers サービスイン nsswitch.conf
grawity
ソース
LDAPでSudoer Rulesを管理するためのGUIベースのアプリはありますか? LDAPブラウザを使用することは、多数のSudoルールを管理するためのあまりユーザーフレンドリーな方法ではありません。 FreeIPAにはSudoer Rulesを管理するためのUIがありますが、389 Directory Serverが必要であり、私たちの環境ではそれを使用しません(正当な理由から)
Saqib Ali
README.LDAP リンクが切れている sudoers.ldap リンク。
Dimitri Kopriwa
2

以下のようにsudoエントリを追加します 

dn: ou=sudoers,ou=people,dc=example,dc=com
ou: sudoers
objectClass: top
objectClass: organizationalUnit

dn: cn=sudogroup,ou=sudoers,ou=people,dc=example,dc=com
objectClass: top
objectClass: sudoRole
cn: sudogroup
sudoUser: thomas
sudoHost: ALL
sudoRunAs: ALL
sudoCommand: ALL

クライアント用のldap.confにsudoers_baseを追加します。 

sudoers_base ou=sudoers,ou=people,dc=example,dc=com

&以下のように/etc/nsswitch.confを編集してください。 

sudoers : files ldap
atolani
ソース
その設定を理解するために私達が頼ることができる参照がありますか?
Dimitri Kopriwa
0

これらの手順はOpenLDAPを使っていることを前提としています。いくつかの詳細はArch Linux特有のものかもしれません。

  1. 確認してください sudo LDAPサポートで構築されています。 (見る README.LDAP または この
  2. 編集して、sudoスキーマをLDAPサーバーに追加します。 slapd.conf たす include /etc/openldap/schema/sudo.schema。このファイルは次の場所からコピーする必要があります。 /usr/share/doc/sudo/schema.OpenLDAP (README.LDAPを参照)
  3. README.LDAPに従い、LDAPサーバーに属性の索引付けを指示します。 sudoUser 行を追加して index sudoUser eqslapd.confLDAPサーバーを再起動します。

  4. データベースにou = SUDOersコンテナーを追加します。これは、次のように渡して実行できます。 ldapadd

    dn:ou = SUDOers、dc =例、dc = com
    objectClass:トップ
    objectClass:organizationalUnit
    ou:SUDOers

  5. 既存のものを変換する sudoers LDIF形式のファイル cvtsudoers それをデータベースに追加します。 ldapadd (README.LDAPを参照)もちろん、設定は最初から生成することもできます。

  6. 作成(または編集) ldap.conf/etc/openldap/ldap.conf 追加するクライアント上のArch) sudoers_base ou=SUDOers,dc=example,dc=com sudoをLDAP対応にする(を参照) sudoers.ldap ) LDAPの設定によっては、さまざまなLDAPオプションも設定する必要があります。オプションを設定するためのsudoの構文は、LDAPの実装とは異なる場合があるため、同じ情報を2回提供する必要があるかもしれません。
  7. 編集する sudoers サービスイン nsswitch.conf することが sudoers: files ldapまたはに sudoers: files sss キャッシュしている場合 SSSD (見る sudoers.ldap manual ) SSSDでキャッシュする場合は、必要なエントリをsssd.conf(およびsystemdを実行しているシステム)に追加する必要があります。 sssd-sudo.socket 有効にする必要があります(詳細はマニュアルページを参照してください)。 SSSD須藤 ))
eponymous
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.