Red Hat Summit12.2.11. IdM Web UI を使用して IdM クライアント上の IdM ユーザーに sudo アクセス権を付与する
Identity Management (IdM) では、特定の IdM ホストで IdM ユーザーアカウントの特定コマンドに sudo アクセスを付与できます。最初に sudo コマンドを追加してから、1 つまたは複数のコマンドに対して sudo ルールを作成します。
以下の手順を実行して、client.idm.example.com マシン (client) 上で /usr/sbin/reboot コマンドを実行する権限を idmuser01 のアカウントに付与する sudo ルール idmuser01_reboot を作成してください。
前提条件
-
IdM Web UI に
adminとしてログインしている。 -
IdM で
idmuser01のユーザーアカウントを作成し、ユーザーのパスワードを作成してアカウントのロックを解除した。コマンドラインを使用して新しい IdM ユーザーを追加する方法の詳細は、コマンドラインを使用したユーザーの追加 を参照してください。 -
clientホストにローカルのidmuser01アカウントが存在しない。ユーザーidmuser01がローカルの/etc/passwdファイルにリストされていない。 - client.idm.example.com ホストが IdM に存在する。
手順
sudoコマンドの IdM データベースに/usr/sbin/rebootコマンドを追加します。-
Policy
Sudo Sudo Commands の順に移動します。 - 右上にある Add をクリックして、Add sudo command ダイアログボックスを開きます。
sudo:/usr/sbin/rebootを使用してユーザーが実行できるコマンドを入力します。
- Add をクリックします。
-
Policy
新しい
sudoコマンドエントリーを使用して、idmuser01 が client マシンを再起動することを許可する sudo ルールを作成します。-
Policy
Sudo Sudo ルールに移動します。 - 右上にある Add をクリックして、Add sudo rule ダイアログボックスを開きます。
-
sudoルールの名前 idmuser01_reboot を入力します。 - Add and Edit をクリックします。
ユーザーを指定します。
- Who セクションで、Specified Users and Groups のラジオボタンを選択します。
- User category the rule applies to サブセクションで Add をクリックして、Add users into sudo rule "idmuser01_reboot" ダイアログボックスを開きます。
- Add users into sudo rule "idmuser01_reboot" ダイアログボックスの Available 列で、idmuser01 のチェックボックスをオンにして、これを Prospective 列に移動します。
- Add をクリックします。
ホストを指定します。
- Access this host セクションで、Specified Hosts and Groups ラジオボタンを確認します。
- Host category this rule applies to サブセクションで Add をクリックして、Add hosts into sudo rule "idmuser01_reboot" ダイアログボックスを開きます。
- Add hosts into sudo rule "idmuser01_reboot" ダイアログボックスの Available 列で、client.idm.example.com のチェックボックスをオンにして、これを Prospective 列に移動します。
- Add をクリックします。
コマンドを指定します。
- Run Commands セクションの Command category the rule applies to サブセクションで、Specified Commands and Groups ラジオボタンにチェックを入れます。
- Sudo Allow Commands サブセクションで Add をクリックして、Add allow sudo commands into sudo rule "idmuser01_reboot" ダイアログボックスを開きます。
-
Add allow sudo commands into sudo rule "idmuser01_reboot" ダイアログボックスの Available 列で、
/usr/sbin/rebootのチェックボックスをオンにして、これを Prospective 列に移動します。 - Add をクリックして、idm_sudo_reboot ページに戻ります。
図12.1 IdM sudo ルールの追加
左上隅にある Save をクリックします。
新しいルールはデフォルトで有効になります。
注記サーバーからクライアントへの変更の伝播には数分かかる場合があります。
-
Policy
検証
-
idmuser01としてclientにログインします。 sudoを使用してマシンを再起動します。プロンプトが表示されたら、idmuser01のパスワードを入力します。$ sudo /usr/sbin/reboot[sudo] password for idmuser01:sudoルールが正しく設定されている場合には、マシンが再起動します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}