ホーム
製品
Red Hat Enterprise Linux
9
IdM ユーザー、グループ、ホスト、およびアクセス制御ルールの管理
9.6. IdM クライアントでサービスアカウントとしてコマンドを実行する IdM WebUI での sudo ルールの作成

9.6. IdM クライアントでサービスアカウントとしてコマンドを実行する IdM WebUI での sudo ルールの作成

IdM では、RunAs エイリアス を使用して、sudo ルールを設定し、別のユーザーまたはグループとして sudo コマンドを実行できます。たとえば、データベースアプリケーションをホストする IdM クライアントが存在し、そのアプリケーションに対応するローカルサービスアカウントとしてコマンドを実行する必要があるとします。

この例を使用して、run_third-party-app_report という IdM WebUI に sudo ルールを作成し、idm_user アカウントが idmclient ホストで thirdpartyapp サービスアカウントとして /opt/third-party-app/bin/report コマンドを実行できるようにします。

前提条件

IdM 管理者としてログインしている。
IdM で idm_user のユーザーアカウントを作成し、ユーザーのパスワードを作成してそのアカウントのロックを解除している。CLI を使用して新しい IdM ユーザーを追加する方法の詳細は、コマンドラインを使用したユーザーの追加を参照してください。
idmclient ホストにローカル idm_user アカウントが存在しない。idm_user ユーザーは、ローカルの /etc/passwd ファイルには表示されません。
idmclient ホストに、third-party-app という名前のカスタムアプリケーションがインストールされている。
third-party-app アプリケーションの report コマンドが、/opt/third-party-app/bin/report ディレクトリーにインストールされている。
third-party-app アプリケーションにコマンドを実行するために、thirdpartyapp という名前のローカルサービスアカウントを作成している。

手順

/opt/third-party-app/bin/report コマンドを、sudo コマンドの IdM データベースに追加します。
1. Policy>Sudo>Sudo Commands に移動します。
2. 右上にある Add をクリックして、Add sudo command ダイアログボックスを開きます。
3. コマンド /opt/third-party-app/bin/report を入力します。
4. Add をクリックします。
新しい sudo コマンドエントリーを使用して、新しい sudo ルールを作成します。
1. Policy Sudo Sudo ルールに移動します。
2. 右上にある Add をクリックして、Add sudo rule ダイアログボックスを開きます。
3. sudo ルールの名前 run_third-party-app_report を入力します。
4. Add and Edit をクリックします。
5. ユーザーを指定します。
  1. Who セクションで、Specified Users and Groups のラジオボタンを選択します。
  2. User セクションで Add をクリックし、Add users into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。
  3. Available 列で、idm_user チェックボックスをオンにして、Prospective 列に移動します。
  4. Add をクリックします。
6. ホストを指定します。
  1. Access this host セクションで、Specified Hosts and Groups ラジオボタンを確認します。
  2. Hosts セクションで Add をクリックし、Add hosts into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。
  3. Available 列で、idmclient.idm.example.com チェックボックスをオンにして、Prospective 列に移動します。
  4. Add をクリックします。
7. コマンドを指定します。
  1. Run Commands セクションで、Specified Commands and Groups ラジオボタンをオンにします。
  2. Sudo Allow Commands セクションで、Add をクリックして、Add allow sudo commands into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。
  3. Available 列で、/opt/third-party-app/bin/report チェックボックスをオンにして、Prospective 列に移動します。
  4. Add をクリックして、run_third-party-app_report のページに戻ります。
8. RunAs ユーザーを指定します。
  1. As Whom で、指定したユーザーとグループ のラジオボタンを確認します。
  2. RunAs Users セクションで Add をクリックし、Add RunAs users into sudo rule "run_third-party-app_report" ダイアログボックスを開きます。
  3. External ボックスに thirdpartyapp サービスアカウントを入力し、Prospective 列に移動します。
  4. Add をクリックして、run_third-party-app_report のページに戻ります。
9. 左上隅にある Save をクリックします。

新しいルールはデフォルトで有効になります。

注記

サーバーからクライアントへの変更の伝播には数分かかる場合があります。

検証

idmclient ホストに idm_user アカウントとしてログインします。

新しい sudo ルールをテストします。

idm_user アカウントが実行可能な sudo ルールを表示します。

sudo -l

[idm_user@idmclient ~]$ sudo -l
Matching Defaults entries for idm_user@idm.example.com on idmclient:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY KRB5CCNAME",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User idm_user@idm.example.com may run the following commands on idmclient:
    (thirdpartyapp) /opt/third-party-app/bin/report

Copy to Clipboard

report コマンドを thirdpartyapp サービスアカウントとして実行します。

sudo -u thirdpartyapp /opt/third-party-app/bin/report

[idm_user@idmclient ~]$ sudo -u thirdpartyapp /opt/third-party-app/bin/report
[sudo] password for idm_user@idm.example.com:
Executing report...
Report successful.

Copy to Clipboard

トップに戻る

9.6. IdM クライアントでサービスアカウントとしてコマンドを実行する IdM WebUI での sudo ルールの作成

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links