13.2.5. 为证书证书 Systemnbsp 设置 sudo 权限; 系统服务
为了简化管理和安全性,可以配置证书证书 Systemnbsp;System 和 Directory Server 进程,以便配置 PKI 管理员(而不是仅 root 用户)可以启动和停止服务。
设置子系统时的建议选项是使用
pkiadmin 系统组。(详情请参考 Red Hat Certificate System 9 规划、安装和部署指南。) 所有为 CertificateCertificate Systemnbsp 的操作系统用户; 然后,系统管理员会添加到该组中。如果存在 pkiadmin 系统组,则可以被授予 sudo 访问权限来执行某些任务。
- 编辑
/etc/sudoers文件;在 Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux 7 中,可以使用 visudo 命令实现这一目的:# visudo
- 根据机器上安装的内容,为 Directory Server、管理服务器、PKI 管理工具和每个 PKI 子系统实例添加一行,为 pkiadmin 组授予 sudo 权限:
# For Directory Server services %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service # For PKI instance management %pkiadmin ALL = PASSWD: /usr/sbin/pkispawn * %pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy * # For PKI instance services %pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
重要
确保为每台证书证书系统nbsp;System、Directory Server 和 Administration Server 在机器上设置 sudo 权限 - 以及 仅适用于 机器上的那些实例。计算机上可能存在同一子系统类型的多个实例,或者没有子系统类型的实例。它取决于部署。
