第30章 sudoの使用
Identity Management には、
sudo ポリシーを IdM ドメイン全体に予測通りかつ一貫性を持って適用するメカニズムがあります。IdM ドメインのすべてのシステムは、sudo クライアントとして設定できます。
30.1. Identity Management の sudo ユーティリティー
sudo ユーティリティーを使用すると、指定したユーザーへの管理者アクセスが可能になります。信頼されるユーザーが、管理コマンドの前に sudo を付けると、このユーザー自身のパスワードが要求されます。ユーザーが認証され、コマンドが許可されると、管理コマンドは root 権限で実行されているかのように実行されます。sudo の詳細は、システム管理者ガイドを参照してください。
30.1.1. sudoの Identity Management LDAP スキーマ
IdM には、
sudo エントリーに特化した LDAP スキーマがあります。スキーマは以下をサポートします。
- ホストグループと netgroups。
sudoは netgroups のみに対応していることに注意してください。 - 複数のコマンドを含む
sudoコマンドグループ。
注記
sudo はホストグループやコマンドグループに対応していないため、sudo ルールの作成時に IdM sudo 設定をネイティブの sudo 設定に変換します。たとえば、IdM は、各ホストグループに対応するシャドウ netgroup を作成します。これにより、IdM 管理者はホストグループを参照する sudo ルールを作成でき、ローカルの sudo コマンドは対応する netgroup を使用します。
デフォルトでは、この
sudo 情報は LDAP 上で匿名で利用できません。そのため、IdM は uid=sudo,cn=sysaccounts,cn=etc,$SUFFIX でデフォルトの sudo ユーザーを定義します。このユーザーは、/etc/sudo-ldap.conf の LDAP sudo 設定ファイルで変更できます。
30.1.2. NIS ドメイン名の要件
netgroups および
sudo が適切に機能するには、NIS ドメイン名を設定する必要があります。sudo の設定には、NIS 形式の netgroups と netgroups の NIS ドメイン名が必要です。ただし、IdM では、実際に NIS ドメインが存在している必要はありません。NIS サーバーをインストールする必要もあります。
注記
ipa-client-install ユーティリティーは、NIS ドメイン名を、デフォルトで IdM ドメイン名に自動的に設定します。
