30.2. 身份管理中的 sudo 规则
使用
sudo
规则,您可以定义 谁可以 执行什么、位置 以及谁。
- 有权使用
sudo
的用户。 - 可用于
sudo
的命令 是什么。 - 其中 是允许用户使用
sudo
的目标主机。 - 用户假定 要 执行任务的系统或其他用户身份。
30.2.1. sudo
规则中的外部用户和主机
IdM 接受
sudo
规则中的外部实体。外部实体是存储在 IdM 域外部的实体,如不属于 IdM 域的用户或主机。
例如,您可以使用
sudo
规则为 IdM 中的 IT 组的成员授予 root 访问权限,其中 root 用户不是 IdM 域中定义的用户。或者,例如,管理员可以阻止对网络中某些主机的访问,但不属于 IdM 域。
30.2.2. sudo
规则的用户组支持
您可以使用
sudo
授予对 IdM 中整个用户组的访问权限。IdM 支持 Unix 和非 POSIX 组。请注意,创建非 POSIX 组可能会导致访问问题,因为非 POSIX 组中的任何用户都会从组中继承非 POSIX 权限。
30.2.3. 支持 sudoers
选项
IdM 支持
sudoers
选项。有关可用 sudoers
选项的完整列表,请查看 sudoers(5) man page。
请注意,IdM 不允许
sudoers
选项中的空格或换行符。因此,可以单独添加它们,而不是在逗号分隔的列表中提供多个选项。例如,要从命令行添加两个 sudoers
选项:
$ ipa sudorule-add-option sudo_rule_name Sudo Option: first_option $ ipa sudorule-add-option sudo_rule_name Sudo Option: second_option
类似地,请确保在一行上提供长选项。例如,从命令行:
$ ipa sudorule-add-option sudo_rule_name Sudo Option: env_keep="COLORS DISPLAY EDITOR HOSTNAME HISTSIZE INPUTRC KDEDIR LESSSECURE LS_COLORS MAIL PATH PS1 PS2 XAUTHORITY"