第 30 章 使用 sudo
身份管理提供了一种机制,可在 IdM 域中可预测且一致地应用
sudo
策略。IdM 域中的每个系统都可以配置为 sudo
客户端。
30.1. 身份管理中的 sudo
工具
sudo
实用程序提供对指定用户的管理访问权限。当信任用户之前使用 sudo
管理命令时,会提示他们自己的密码。然后,当它们经过身份验证并假定允许 命令时,将像 root 用户一样执行管理命令。有关 sudo
的更多信息,请参阅 系统管理员指南。
30.1.1. sudo
的身份管理 LDAP 架构
IdM 具有
sudo
条目的专用 LDAP 模式。架构支持:
- 主机组和网络组.请注意,
sudo
只支持 netgroups。 sudo
命令组,包含多个命令。
注意
由于
sudo
不支持主机组或命令组,因此 IdM 会在创建 sudo
规则时将 IdM sudo
配置转换为原生 sudo
配置。例如,IdM 为每个主机组创建对应的 shadow netgroup,它允许 IdM 管理员创建引用主机组的 sudo
规则,而本地 sudo
命令则使用对应的 netgroup。
默认情况下,
sudo
信息无法通过 LDAP 匿名使用。因此,IdM 在 uid= sudo
,cn=sysaccounts,cn=etc,$SUFFIX
中定义了默认的 sudo 用户。您可以在位于 /etc/ sudo
-ldap.conf
的 LDAP sudo 配置文件中更改此用户。
30.1.2. NIS 域名要求
必须为 netgroups 和
sudo
设置 NIS 域名才能正常工作。sudo
配置需要 NIS 格式的 netgroups 和 netgroups 的 NIS 域名。但是,IdM 并不要求 NIS 域实际存在。也不要求安装 NIS 服务器。
注意
ipa-client-install
工具默认自动将 NIS 域名设置为 IdM 域名。