8.6. IdM クライアントでサービスアカウントとしてコマンドを実行する IdM WebUI での sudo ルールの作成

手順

1. /opt/third-party-app/bin/report コマンドを、sudo コマンドの IdM データベースに追加します。

   1. Policy Sudo Sudo Commands の順に移動します。
   2. 右上にある Add をクリックして、Add sudo command ダイアログボックスを開きます。

   3. コマンド /opt/third-party-app/bin/report を入力します。

      
   4. Add をクリックします。

2. 新しい sudo コマンドエントリーを使用して、新しい sudo ルールを作成します。

   1. Policy Sudo Sudo ルールに移動します。
   2. 右上にある Add をクリックして、Add sudo rule ダイアログボックスを開きます。

   3. sudo ルールの名前 run_third-party-app_report を入力します。

      
   4. Add and Edit をクリックします。

   5. ユーザーを指定します。

      1. Who セクションで、Specified Users and Groups のラジオボタンを選択します。
      2. User category the rule applies to のサブセクションで Add をクリックして、Add users into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。

      3. Available 列の Add users into sudo rule "run_third-party-app_report" ダイアログボックスで、idm_user チェックボックスをオンにして、これを Prospective 列に移動します。

         
      4. Add をクリックします。

   6. ホストを指定します。

      1. Access this host セクションで、Specified Hosts and Groups ラジオボタンを確認します。
      2. Host category this rule applies to サブセクションで Add をクリックして、Add hosts into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。

      3. Available 列の Add hosts into sudo rule "run_third-party-app_report" ダイアログボックスで、idmclient.idm.example.com チェックボックスをオンにして、これを Prospective 列に移動します。

         
      4. Add をクリックします。

   7. コマンドを指定します。

      1. Run Commands セクションの Command category the rule applies to サブセクションで、Specified Commands and Groups ラジオボタンにチェックを入れます。
      2. Sudo Allow Commands サブセクションで Add をクリックして、Add allow sudo commands into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。

      3. Available 列の Add allow sudo commands into sudo rule "run_third-party-app_report" ダイアログボックスで、/opt/third-party-app/bin/report チェックボックスをオンにして、これを Prospective 列に移動します。

         
      4. Add をクリックして、run_third-party-app_report のページに戻ります。

   8. RunAs ユーザーを指定します。

      1. As Whom で、Specified Users and Groups ラジオボタンをオンにします。
      2. RunAs Users サブセクションで Add をクリックして、Add RunAs users into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。

      3. Add RunAs users into sudo rule "run_third-party-app_report" ダイアログボックスで、External ボックスに thirdpartyapp サービスアカウントを入力し、これを Prospective 列に移動します。

         
      4. Add をクリックして、run_third-party-app_report のページに戻ります。

   9. 左上隅にある Save をクリックします。

      新しいルールはデフォルトで有効になります。

      次の画像は、IdM Web UI で作成した sudo ルールの詳細を示しています。

      
   注記

   サーバーからクライアントへの変更の伝播には数分かかる場合があります。

検証

1. idmclient ホストに idm_user アカウントとしてログインします。

2. 新しい sudo ルールをテストします。

   1. idm_user アカウントが実行可能な sudo ルールを表示します。

      [idm_user@idmclient ~]$ sudo -l
      Matching Defaults entries for idm_user@idm.example.com on idmclient:
          !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
          env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
          env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
          env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
          env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
          env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY KRB5CCNAME",
          secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
      
      User idm_user@idm.example.com may run the following commands on idmclient:
          (thirdpartyapp) /opt/third-party-app/bin/report

   2. report コマンドを thirdpartyapp サービスアカウントとして実行します。

      [idm_user@idmclient ~]$ sudo -u thirdpartyapp /opt/third-party-app/bin/report
      [sudo] password for idm_user@idm.example.com:
      Executing report...
      Report successful.