36.2. Conceder acesso sudo a um usuário IdM em um cliente IdM usando a IDM Web UI
Em Gerenciamento de Identidade (IdM), você pode conceder acesso a sudo
para um comando específico para uma conta de usuário IdM em um host IdM específico. Primeiro, adicione um comando sudo
e depois crie uma regra sudo
para um ou mais comandos.
Complete este procedimento para criar a regra idm_user_reboot sudo para conceder a idm_user a permissão para executar o comando /usr/sbin/reboot
na máquina idmclient.
Pré-requisitos
- Você está logado como administrador da IdM.
- Você criou uma conta de usuário para idm_user no IdM e desbloqueou a conta criando uma senha para o usuário. Para detalhes sobre como adicionar um novo usuário do IdM usando a interface de linha de comando, veja Adicionar usuários usando a linha de comando.
-
Nenhuma conta idm_user local foi criada em idmclient. O usuário idm_user não está listado no arquivo local
/etc/passwd
.
Procedimento
Adicione o comando
/usr/sbin/reboot
ao banco de dados do IdM desudo
comandos:-
Navegue para Policy
Sudo Sudo Commands. - Clique em Add no canto superior direito para abrir a caixa de diálogo Add sudo command.
Digite o comando que você quer que o usuário seja capaz de executar usando
sudo
:/usr/sbin/reboot
.Figura 36.1. Adicionando o comando sudo IdM
- Clique em Add.
-
Navegue para Policy
Use o novo comando
sudo
para criar uma regra sudo para permitir idm_user para reiniciar a máquina idmclient:-
Navegue para Policy
Sudo Sudo rules. - Clique em Add no canto superior direito para abrir a caixa de diálogo Add sudo rule.
-
Digite o nome da regra
sudo
: idm_user_reboot. - Clique em Add and Edit.
Especifique o usuário:
- Na seção Who, verifique o botão de rádio Specified Users and Groups.
- Na subseção User category the rule applies to, clique em Add para abrir a caixa de diálogo Add users into sudo rule "idm_user_reboot".
- Na caixa de diálogo Add users into sudo rule "idm_user_reboot", na coluna Available, marque a caixa de seleção idm_user, e mova para a coluna Prospective.
- Clique em Add.
Especifique o anfitrião:
- Na seção Access this host, verifique o botão de rádio Specified Hosts and Groups.
- Na subseção Host category this rule applies to, clique em Add para abrir a caixa de diálogo Add hosts into sudo rule "idm_user_reboot".
- Na caixa de diálogo Add hosts into sudo rule "idm_user_reboot", na coluna Available, marque a caixa de seleção idmclient.idm.example.com, e mova para a coluna Prospective.
- Clique em Add.
Especifique os comandos:
- Na subseção Command category the rule applies to da seção Run Commands, verifique o botão de rádio Specified Commands and Groups.
- Na subseção Sudo Allow Commands, clique em Add para abrir a caixa de diálogo Add allow sudo commands into sudo rule "idm_user_reboot".
-
Na caixa de diálogo Add allow sudo commands into sudo rule "idm_user_reboot", na coluna Available, marque a caixa de seleção
/usr/sbin/reboot
, e mova para a coluna Prospective. Clique em Add para retornar à página idm_sudo_reboot.
Figura 36.2. Adicionando a regra do sudo IdM
- Clique em Save, no canto superior esquerdo.
-
Navegue para Policy
A nova regra é ativada por padrão.
Etapas de verificação
Teste que a regra sudo que você estabeleceu no servidor IdM funciona em idmclient, verificando que idm_user pode agora reiniciar idmclient usando sudo
. Note que a propagação das mudanças do servidor para o cliente pode levar alguns minutos.
- Acesse idmclient como idm_user.
Reinicie a máquina usando
sudo
. Digite a senha para idm_user quando solicitado:$ sudo /usr/sbin/reboot [sudo] password for idm_user:
Se o sudo for configurado corretamente, a máquina é reinicializada.