第30章 sudoの使用
Identity Management には、
sudo
ポリシーを IdM ドメイン全体に予測通りかつ一貫性を持って適用するメカニズムがあります。IdM ドメインのすべてのシステムは、sudo
クライアントとして設定できます。
30.1. Identity Management の sudo
ユーティリティー
sudo
ユーティリティーを使用すると、指定したユーザーへの管理者アクセスが可能になります。信頼されるユーザーが、管理コマンドの前に sudo
を付けると、このユーザー自身のパスワードが要求されます。ユーザーが認証され、コマンドが許可されると、管理コマンドは root 権限で実行されているかのように実行されます。sudo
の詳細は、システム管理者ガイドを参照してください。
30.1.1. sudo
の Identity Management LDAP スキーマ
IdM には、
sudo
エントリーに特化した LDAP スキーマがあります。スキーマは以下をサポートします。
- ホストグループと netgroups。
sudo
は netgroups のみに対応していることに注意してください。 - 複数のコマンドを含む
sudo
コマンドグループ。
注記
sudo
はホストグループやコマンドグループに対応していないため、sudo
ルールの作成時に IdM sudo
設定をネイティブの sudo
設定に変換します。たとえば、IdM は、各ホストグループに対応するシャドウ netgroup を作成します。これにより、IdM 管理者はホストグループを参照する sudo
ルールを作成でき、ローカルの sudo
コマンドは対応する netgroup を使用します。
デフォルトでは、この
sudo
情報は LDAP 上で匿名で利用できません。そのため、IdM は uid=sudo,cn=sysaccounts,cn=etc,$SUFFIX
でデフォルトの sudo
ユーザーを定義します。このユーザーは、/etc/sudo-ldap.conf
の LDAP sudo
設定ファイルで変更できます。
30.1.2. NIS ドメイン名の要件
netgroups および
sudo
が適切に機能するには、NIS ドメイン名を設定する必要があります。sudo
の設定には、NIS 形式の netgroups と netgroups の NIS ドメイン名が必要です。ただし、IdM では、実際に NIS ドメインが存在している必要はありません。NIS サーバーをインストールする必要もあります。
注記
ipa-client-install
ユーティリティーは、NIS ドメイン名を、デフォルトで IdM ドメイン名に自動的に設定します。