第 8 章 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限
了解有关授予 sudo
访问身份管理中用户的更多信息。
8.1. IdM 客户端上的 sudo 访问权限
系统管理员可以授予 sudo
访问权限,以允许非 root 用户执行通常为 root
用户保留的管理命令。因此,当用户需要执行通常为 root
用户保留的管理命令时,他们会在此命令前面使用 sudo
。输入密码后,将像 root
用户一样执行 命令。要将 sudo
命令作为另一个用户或组(如数据库服务帐户)执行,您可以为 sudo
规则配置 RunAs 别名。
如果 Red Hat Enterprise Linux (RHEL) 8 主机注册为 Identity Management (IdM) 客户端,您可以指定 sudo
规则来定义哪些 IdM 用户可以在主机上执行哪些命令:
-
本地的
/etc/sudoers
文件中 - 集中在 IdM 中
您可以使用命令行界面(CLI)和 IdM Web UI 为 IdM 客户端创建 集中的 sudo
规则。
在 RHEL 8.4 及更高版本中,您还可以使用通用安全服务应用程序编程接口 (GSSAPI) 为 sudo
配置免密码身份验证,这是基于 UNIX 的操作系统访问和验证 Kerberos 服务的本地方式。您可以使用 pam_sss_gss.so
可插拔验证模块 (PAM) 通过 SSSD 服务调用 GSSAPI 身份验证,允许用户通过有效的 Kerberos 票据向 sudo
命令进行身份验证。
其他资源
- 请参阅 管理 sudo 权限。