21.4. IdM sudo ポリシーを使用するようにホストを設定
実際に
sudo
ポリシーを実装するのは、IdM でルールを作成するよりも複雑です。これらのルールはすべてのローカルマシンに適用する必要があります。つまり、IdM ドメインの各システムがポリシーに対して IdM を参照するように設定する必要があります。
SSSD または LDAP を使用して、ホストに
sudo
ポリシーを適用できます。Red Hat では、SSSD ベースの設定を使用することを強く推奨しています。
21.4.1. SSSD を使用した sudo ポリシーのホストへの適用 リンクのコピーリンクがクリップボードにコピーされました!
リンクのコピーリンクがクリップボードにコピーされました!
- IdM でホストおよび
sudo
エントリーを設定します。- 「sudo コマンドおよびコマンドグループの設定」の説明に従って、
sudo
コマンドおよびコマンドグループを設定します。 - 「sudo ルールの定義」の説明に従って、
sudo
ルールを設定します。 - 任意。「ホストグループの管理」の説明に従って、ホストグループを設定します。
- 任意。「ユーザーグループの作成」で説明されているようにユーザーグループを作成し、ユーザーを追加します。
sudo
ルールに SSSD を使用するように、IdM ドメインのすべてのシステムを設定します。注記このステップは、Red Hat Enterprise Linux 6.5 以前に基づいたシステムでのみ実行してください。Red Hat Enterprise Linux 6.6 以降では、ipa-client-install
ユーティリティーが SSSD を自動的にsudo
のデータプロバイダーとして設定します。sudoers
ファイルで SSSD をルックアップするようsudo
を設定します。vim /etc/nsswitch.conf sudoers: files sss
vim /etc/nsswitch.conf sudoers: files sss
Copy to Clipboard Copied! Toggle word wrap Toggle overflow このfiles
オプションをそのままにすると、sudo
で、IdM 設定について SSSD を確認する前にローカル設定を確認することができます。sudo
を、ローカルの SSSD クライアントが管理するサービス一覧に追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow sudo
設定で NIS ドメインの名前を設定します。sudo
は NIS スタイルの netgroup を使用するので、sudo
が IdMsudo
設定で使用されているホストグループを発見できるようにするには、NIS ドメイン名はシステム設定で設定する必要があります。sudo
ルールで使用する NIS ドメイン名を設定します。nisdomainname example.com
[root@server ~]# nisdomainname example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - NIS ドメイン名が維持されるようにシステム認証設定を設定します。たとえば、以下のようになります。
echo "NISDOMAIN=example.com.com" >> /etc/sysconfig/network
[root@server ~]# echo "NISDOMAIN=example.com.com" >> /etc/sysconfig/network
Copy to Clipboard Copied! Toggle word wrap Toggle overflow これにより、NIS ドメインを持つ/etc/sysconfig/network
および/etc/yp.conf
ファイルが更新されます。
注記sudo
は NIS 形式のネットグループを使用しますが、NIS サーバーをインストールする必要はありません。netgroups では、NIS ドメインを設定で命名する必要があるため、sudo
では、netgroups に NIS ドメインという名前を付ける必要があります。ただし、NIS ドメインが存在する必要はありません。
- オプションで、SSSD 内のデバッグを有効にして、使用している LDAP 設定を表示することができます。
[domain/IPADOMAIN] debug_level = 6 ....
[domain/IPADOMAIN] debug_level = 6 ....
Copy to Clipboard Copied! Toggle word wrap Toggle overflow SSSD が操作に使用する LDAP 検索ベースは、sssd_
DOMAINNAME.log
ファイルに記録されます。