1

У нас есть сервер LDAP и много работающих серверов. Информация о нашем пользователе находится в LDAP http://fclose.com/b/281/ . Но список sudoers хранится в /etc /sudoers. Теперь вопрос в том, как сохранить список sudoers в LDAP, чтобы его можно было контролировать по центру?

Мы используем Fedora 12 как на сервере LDAP, так и на рабочих серверах.

3 ответа3

3

Следуйте официальным инструкциям README.LDAP и странице руководства sudoers.ldap .

  1. Убедитесь, что sudo создан с поддержкой LDAP.
  2. Обновите схему LDAP.
  3. Импортируйте файл sudoers в LDAP.
  4. Настройте службу sudoers в nsswitch.conf .
2

Добавьте запись sudo, как показано ниже

dn: ou=sudoers,ou=people,dc=example,dc=com
ou: sudoers
objectClass: top
objectClass: organizationalUnit

dn: cn=sudogroup,ou=sudoers,ou=people,dc=example,dc=com
objectClass: top
objectClass: sudoRole
cn: sudogroup
sudoUser: thomas
sudoHost: ALL
sudoRunAs: ALL
sudoCommand: ALL

Добавьте sudoers_base в ldap.conf для клиента.

sudoers_base ou=sudoers,ou=people,dc=example,dc=com

& Отредактируйте /etc/nsswitch.conf, как показано ниже

sudoers : files ldap
0

Эти инструкции предполагают, что вы используете OpenLDAP. Некоторые детали могут быть специфичными для Arch Linux.

  1. Убедитесь, что sudo создан с поддержкой LDAP. (см. README.LDAP или это)
  2. Добавьте схему sudo на сервер LDAP, отредактировав slapd.conf добавив include /etc/openldap/schema/sudo.schema . Обратите внимание, что этот файл должен быть скопирован из /usr/share/doc/sudo/schema.OpenLDAP (см. README.LDAP).
  3. Согласно README.LDAP, укажите серверу LDAP индексировать атрибут sudoUser , добавив строчный index sudoUser eq в slapd.conf и перезапустите сервер LDAP.
  4. Добавьте контейнер ou = SUDOers в базу данных. Это можно сделать, передав через ldapadd следующее:

    dn: ou = SUDOers, dc = пример, dc = com
    objectClass: top
    objectClass: organizUnit
    ou: SUDOers

  5. Преобразуйте существующий файл sudoers в формат LDIF с помощью cvtsudoers добавьте его в базу данных с помощью ldapadd (см. README.LDAP). Конфигурация, конечно, может быть создана с нуля.

  6. Создайте (или отредактируйте) ldap.conf (/etc/openldap/ldap.conf в Arch) на клиенте, чтобы добавить sudoers_base ou=SUDOers,dc=example,dc=com чтобы сделать sudo LDAP-ориентированным (см. sudoers.ldap). В зависимости от конфигурации LDAP может потребоваться также установить различные параметры LDAP; Синтаксис sudo для настройки параметров может отличаться от вашей реализации LDAP, поэтому одну и ту же информацию, возможно, придется предоставлять дважды.
  7. Измените службу sudoers в nsswitch.conf чтобы она была sudoers: files ldap или sudoers: files sss если кешируется с помощью SSSD (см. sudoers.ldap manual). Если кеширование выполняется с помощью SSSD, необходимо добавить необходимые записи в sssd.conf (и в системах, работающих под управлением systemd, sssd-sudo.socket должен быть включен (см. Страницу руководства для SSSD-SUDO))

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .