ホーム
製品
Red Hat Enterprise Linux
8
Ansible を使用した Identity Management のインストールと管理
20.5. IdM クライアントでサービスアカウントとしてコマンドを実行する CLI での sudo ルールの作成

20.5. IdM クライアントでサービスアカウントとしてコマンドを実行する CLI での sudo ルールの作成

IdM では、RunAs エイリアス を使用して、sudo ルールを設定し、別のユーザーまたはグループとして sudo コマンドを実行できます。たとえば、データベースアプリケーションをホストする IdM クライアントが存在し、そのアプリケーションに対応するローカルサービスアカウントとしてコマンドを実行する必要があるとします。

この例を使用して、run_third-party-app_report と呼ばれるコマンドラインに sudo ルールを作成し、idm_user アカウントが idmclient ホストの thirdpartyapp サービスアカウントとして /opt/third-party-app/bin/report コマンドを実行できるようにします。

前提条件

IdM 管理者としてログインしている。
IdM で idm_user のユーザーアカウントを作成し、ユーザーのパスワードを作成してそのアカウントのロックを解除している。CLI を使用して新しい IdM ユーザーを追加する方法の詳細は、コマンドラインを使用したユーザーの追加を参照してください。
idmclient ホストにローカル idm_user アカウントが存在しない。idm_user ユーザーは、ローカルの /etc/passwd ファイルには表示されません。
idmclient ホストに、third-party-app という名前のカスタムアプリケーションがインストールされている。
third-party-app アプリケーションの report コマンドが、/opt/third-party-app/bin/report ディレクトリーにインストールされている。
third-party-app アプリケーションにコマンドを実行するために、thirdpartyapp という名前のローカルサービスアカウントを作成している。

手順

IdM の 管理者 として Kerberos チケットを取得します。
```
kinit admin
```
```
[root@idmclient ~]# kinit admin
```
Copy to Clipboard Toggle word wrap

/opt/third-party-app/bin/report コマンドを、sudo コマンドの IdM データベースに追加します。

ipa sudocmd-add /opt/third-party-app/bin/report

[root@idmclient ~]# ipa sudocmd-add /opt/third-party-app/bin/report
----------------------------------------------------
Added Sudo Command "/opt/third-party-app/bin/report"
----------------------------------------------------
  Sudo Command: /opt/third-party-app/bin/report

Copy to Clipboard

Toggle word wrap

run_third-party-app_report という名前の sudo ルールを作成します。

ipa sudorule-add run_third-party-app_report

[root@idmclient ~]# ipa sudorule-add run_third-party-app_report
--------------------------------------------
Added Sudo Rule "run_third-party-app_report"
--------------------------------------------
  Rule name: run_third-party-app_report
  Enabled: TRUE

Copy to Clipboard

Toggle word wrap

--users=<user> オプションを使用して、sudorule-add-runasuser コマンドに RunAs ユーザーを指定します。
```
ipa sudorule-add-runasuser run_third-party-app_report --users=thirdpartyapp
```
```
[root@idmclient ~]# ipa sudorule-add-runasuser run_third-party-app_report --users=thirdpartyapp
  Rule name: run_third-party-app_report
  Enabled: TRUE
  RunAs External User: thirdpartyapp
-------------------------
Number of members added 1
-------------------------
```
Copy to Clipboard Toggle word wrap
ユーザー (または --groups=* オプションで指定したグループ) は、ローカルサービスアカウントや Active Directory ユーザーなどの IdM の外部に配置できます。グループ名には % 接頭辞を追加しないでください。

/opt/third-party-app/bin/report コマンドを run_third-party-app_report ルールに追加します。

ipa sudorule-add-allow-command run_third-party-app_report --sudocmds '/opt/third-party-app/bin/report'

[root@idmclient ~]# ipa sudorule-add-allow-command run_third-party-app_report --sudocmds '/opt/third-party-app/bin/report'
Rule name: run_third-party-app_report
Enabled: TRUE
Sudo Allow Commands: /opt/third-party-app/bin/report
RunAs External User: thirdpartyapp
-------------------------
Number of members added 1
-------------------------

Copy to Clipboard

Toggle word wrap

run_third-party-app_report ルールを IdM idmclient ホストに適用します。

ipa sudorule-add-host run_third-party-app_report --hosts idmclient.idm.example.com

[root@idmclient ~]# ipa sudorule-add-host run_third-party-app_report --hosts idmclient.idm.example.com
Rule name: run_third-party-app_report
Enabled: TRUE
Hosts: idmclient.idm.example.com
Sudo Allow Commands: /opt/third-party-app/bin/report
RunAs External User: thirdpartyapp
-------------------------
Number of members added 1
-------------------------

Copy to Clipboard

Toggle word wrap

idm_user アカウントーを run_third-party-app_report ルールに追加します。

ipa sudorule-add-user run_third-party-app_report --users idm_user

[root@idmclient ~]# ipa sudorule-add-user run_third-party-app_report --users idm_user
Rule name: run_third-party-app_report
Enabled: TRUE
Users: idm_user
Hosts: idmclient.idm.example.com
Sudo Allow Commands: /opt/third-party-app/bin/report
RunAs External User: thirdpartyapp
-------------------------
Number of members added 1

Copy to Clipboard

Toggle word wrap

注記

サーバーからクライアントへの変更の伝播には数分かかる場合があります。

検証

idmclient ホストに idm_user アカウントとしてログインします。

新しい sudo ルールをテストします。

idm_user アカウントが実行可能な sudo ルールを表示します。

sudo -l

[idm_user@idmclient ~]$ sudo -l
Matching Defaults entries for idm_user@idm.example.com on idmclient:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY KRB5CCNAME",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User idm_user@idm.example.com may run the following commands on idmclient:
    (thirdpartyapp) /opt/third-party-app/bin/report

Copy to Clipboard

Toggle word wrap

report コマンドを thirdpartyapp サービスアカウントとして実行します。

sudo -u thirdpartyapp /opt/third-party-app/bin/report

[idm_user@idmclient ~]$ sudo -u thirdpartyapp /opt/third-party-app/bin/report
[sudo] password for idm_user@idm.example.com:
Executing report...
Report successful.

Copy to Clipboard

Toggle word wrap

トップに戻る

20.5. IdM クライアントでサービスアカウントとしてコマンドを実行する CLI での sudo ルールの作成

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links