21.3. sudo ルールの定義
sudo ルールは、アクセス制御ルールと似ています。アクセスが付与されたユーザー、ルールの範囲内にあるコマンド、ルールが適用されるターゲットホストを定義します。IdM では、sudoers オプションや run-as 設定など、ルールで追加情報を設定できます。ただし、基本要素は常にユーザー、対象 (サービス)、および場所 (ホスト) を定義します。
21.3.1. 外部ユーザーについて
sudo ルールは、誰 が 何を、どこで で 誰として行うことができるかという 4 つの要素を定義します。who が通常のユーザーであり、as whom は、ユーザーがタスクの実行に使用するシステムまたは他のユーザー ID です。これらのタスクは、ターゲットマシンで実行できる (実行しない) システムコマンドです。
これら 3 つの要素 who、who、where はアイデンティティーです。これらはユーザーです。多くの場合、環境内のシステムユーザーと、IdM ドメインに属するユーザーおよびホストとの間に重複があるため、これらのアイデンティティーは IdM ドメイン内のエンティティーになります。
ただし、sudo ポリシーが現実的にカバーできるすべてのアイデンティティーが必ずしも当てはまるわけではありません。たとえば、sudo ルールを使用して、IdM の IT グループのメンバーに root アクセスを付与でき、root ユーザーは IdM のユーザーではありません。別の例では、ネットワーク上にあるものの IdM ドメインの一部ではない特定ホストへのアクセスを管理者はブロックする場合もあります。
Identity Management の sudo ルールは、外部 ユーザーの概念 (つまり、保存され、IdM 設定外に存在するユーザー) をサポートします。
図21.1 外部エンティティー
sudo ルールを設定する際に、ユーザーおよび run-as 設定は sudo ルールに含めて評価できるように、外部アイデンティティーを参照することができます。
