30.2. Identity Management の sudo ルール
sudo ルールを使用すると、誰が 何を、どこで、および 誰として 実行できるかを定義できます。
- ユーザーが
sudoを使用することができるユーザーは 誰 ですか。 sudoで使用できるコマンドは 何 ですか。- ユーザーが
sudoを使用できるターゲットホストはどこか。 - ユーザーは、システムまたは他のユーザー ID の誰として タスクを実行すると想定されるか。
30.2.1. sudo ルールの外部ユーザーおよびホスト
IdM は
sudo ルールの外部エンティティーを受け入れます。外部エンティティーとは、IdM ドメインの一部ではないユーザーまたはホストなど、IdM ドメイン外に保存されるエンティティーです。
たとえば、
sudo ルールを使用して、IdM の IT グループのメンバーに root アクセスを付与できます。ここで、root ユーザーは、IdM ドメインで定義されているユーザーではありません。別の例では、ネットワーク上にあるものの IdM ドメインの一部ではない特定ホストへのアクセスを管理者はブロックできます。
30.2.2. sudo ルールのユーザーグループサポート
sudo を使用して、IdM のユーザーグループ全体へのアクセス権限を付与できます。IdM は、Unix グループと非 POSIX グループの両方に対応します。非 POSIX グループを作成すると、非 POSIX グループのユーザーはグループから非 POSIX パーミッションを継承するため、アクセスの問題が発生する可能性があります。
30.2.3. sudoers オプションのサポート
IdM は
sudoers オプションに対応します。利用可能な sudoers オプションの完全なリストは、sudoers(5) の man ページを参照してください。
IdM では、
sudoers オプションで空白や改行を使用できないことに注意してください。したがって、複数のオプションをコンマ区切りリストで指定する代わりに、個別に追加します。たとえば、コマンドラインから 2 つの sudoers オプションを追加するには、以下を実行します。
$ ipa sudorule-add-option sudo_rule_name Sudo Option: first_option $ ipa sudorule-add-option sudo_rule_name Sudo Option: second_option
同様に、1 行に長いオプションを指定するようにしてください。たとえば、コマンドラインでは、以下のようになります。
$ ipa sudorule-add-option sudo_rule_name Sudo Option: env_keep="COLORS DISPLAY EDITOR HOSTNAME HISTSIZE INPUTRC KDEDIR LESSSECURE LS_COLORS MAIL PATH PS1 PS2 XAUTHORITY"
