web-dev-qa-db-ja.com

集中化されたSudoにFreeIPAを使用する-すべてのコマンドを指定する方法

FreeIPAのモデルに頭を抱えるのに苦労しています。 FreeIPA manual の状態:

FreeIPAは、Sudoコマンドグループで追加の制御手段を追加します。これにより、コマンドのグループを定義して、Sudo構成に1つとして適用できます。

しかし、それらの例は基本的にSudoコマンドグループの作成とparticularSudoコマンドのvimlessの追加「ファイル」sudoコマンドグループ。

例えばコマンドラインから:

ipa sudocmdgroup-add --desc 'File editing commands' files

ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'

ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files

しかし、/ etc/sudoersで行うように、ALLをどのように指定しますか?ワイルドカードを使用できますか(*など)?

9
HTTP500

ユーザーのグループがSudoを使用してコマンドを実行できるようにする場合は、コマンドグループを作成する必要はありません。すべてのコマンドを許可するSudoルールが必要であり、FreeIPAのインストール時にデフォルトで1つ作成されているはずです。

# ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
  Rule name: All
  Enabled: TRUE
  Host category: all
  Command category: all
  RunAs User category: all
  User Groups: admins
----------------------------
Number of entries returned 1
----------------------------

(そのようなルールが存在しない場合は、作成してください。)

ipa sudorule-add --cmdcat=all All

任意のコマンドでSudoを使用できるようにするユーザーまたはグループをこのSudoルールに追加するだけです。

ipa sudorule-add-user --groups=admins All

必要に応じて、Web UIからこれを行うこともできます。

9
Michael Hampton

ALLをルールに追加する場合は、値allのカテゴリーオプションを使用できます。ホストの場合は--cmdcat=all、コマンドの場合は--hostcat=all、ユーザーの場合は--usercat=allおよび以下のいくつか。

これらのオプションはすべてipa sudorule-add --helpに表示されます:

$ ipa sudorule-add --help
Usage: ipa [global-options] sudorule-add SUDORULE-NAME [options]

Create new Sudo Rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            Description
  --usercat=['all']     User category the rule applies to
  --hostcat=['all']     Host category the rule applies to
  --cmdcat=['all']      Command category the rule applies to
  --runasusercat=['all']
                        RunAs User category the rule applies to
  --runasgroupcat=['all']
                        RunAs Group category the rule applies to
...
0
abbra