sudoeditビルトインのfreeIPAでsudoruleを作成する方法
現在、ユーザーのグループにファイルを編集するためのアクセス権を付与したい場合は、次の手順に従います。
_
ipa sudocmd-add --desc=Vi IMproved default-mode, no-exec, no-suspend mode' '/usr/bin/rvim'
ipa sudocmdgroup-add edition --desc='commands for restricted edition'
ipa sudocmdgroup-add-member edition --sudocmds=/usr/bin/rvim
ipa sudorule-add edition-4-operators --desc='Operator access to restricted edition commands'
ipa sudorule-add-allow-command edition-4-operators --sudocmdgroups=edition
_次に、HBAC、SELinuxなどに関連する残りのオプション。
freeIPA サーバーのすべてのsudorulesで_/usr/bin/rvim_を組み込みのsudoedit(8)に置き換えたい。
いつものようにsudoeditをsudocmdとして宣言する必要がありますか?以前にsudoeditとして宣言せずに、sudocmdgroupをsudocmdに直接追加できますか?
これはそれを行う方法です(実際には、実際的な例):
# ipa sudocmd-add --desc='sudoedit configuration file of IPv4 packet filtering and NAT' 'sudoedit /etc/sysconfig/iptables'
--------------------------------------------------------------
Added Sudo Command "sudoedit /etc/sysconfig/iptables"
--------------------------------------------------------------
Sudo Command: sudoedit /etc/sysconfig/iptables
Description: sudoedit configuration file of IPv4 packet filtering and NAT
# ipa sudocmdgroup-add-member networking --sudocmds='sudoedit /etc/sysconfig/iptables'
Sudo Command Group: networking
Description: commands for network configuration and troubleshooting
Member Sudo commands: sudoedit /etc/sysconfig/iptables
-------------------------
Number of members added 1
-------------------------
Sudoビルトインをsudoeditする
# ls -lrt /usr/bin/sudoedit
lrwxrwxrwx. 1 root root 4 Apr 8 09:00 /usr/bin/sudoedit -> Sudo*
/usr/bin/sudoeditを使用してsudoruleを追加しようとすると、次のエラーで失敗します。
$ Sudo -e /etc/sysconfig/iptables
Sorry, user joe is not allowed to execute 'sudoedit /etc/sysconfig/iptables' as root on Host.domain.com.
Sudo -eとsudoeditの両方で正しく機能します。