web-dev-qa-db-fra.com

Utilisation de Freeipa pour Centralized Sudo - Comment spécifier toutes les commandes?

J'ai du mal à m'envelopper dans la tête du modèle de Freepiaka. Le Freeipa Manuel States:

FreeIPA ajoute une mesure de contrôle supplémentaire avec des groupes de commandes sudo, permettant de définir un groupe de commandes à définir, puis appliquée à la configuration sudo comme une.

Mais leurs exemples parlent essentiellement de créer un groupe de commandes sudo et d'ajouter des commandes sudo comme vim et less à un Groupe de commandes Sudo "Fichiers".

par exemple. De la ligne de commande:

ipa sudocmdgroup-add --desc 'File editing commands' files

ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'

ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files

Mais comment spécifiez-vous ALL comme vous le feriez dans/etc/sudoers? Cela peut-il être sauvage (par exemple. *)?

sudofreeipa
9
HTTP500

Vous n'avez pas besoin de faire des groupes de commandes si vous souhaitez qu'un groupe d'utilisateurs puisse exécuter n'importe quelle commande avec Sudo. Vous avez juste besoin d'une règle sudo qui permet à toutes les commandes, et on aurait dû être créé pour vous par défaut lorsque vous avez installé FreeIPA.

# ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
  Rule name: All
  Enabled: TRUE
  Host category: all
  Command category: all
  RunAs User category: all
  User Groups: admins
----------------------------
Number of entries returned 1
----------------------------

(Si une telle règle n'existe pas, créez-la.)

ipa sudorule-add --cmdcat=all All

Ajoutez simplement les utilisateurs ou les groupes à cette règle sudo que vous souhaitez pouvoir être capable de Sudo avec n'importe quelle commande.

ipa sudorule-add-user --groups=admins All

Vous pouvez également le faire à partir de l'interface utilisateur Web si vous préférez.

9
Michael Hampton

Lorsque vous souhaitez ajouter ALL à une règle, vous pouvez utiliser une option de catégorie avec la valeur all. Pour les commandes qui seraient --cmdcat=all, pour les hôtes - --hostcat=all, pour les utilisateurs - --usercat=all et peu plus ci-dessous.

Toutes ces options sont visibles dans ipa sudorule-add --help:

$ ipa sudorule-add --help
Usage: ipa [global-options] sudorule-add SUDORULE-NAME [options]

Create new Sudo Rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            Description
  --usercat=['all']     User category the rule applies to
  --hostcat=['all']     Host category the rule applies to
  --cmdcat=['all']      Command category the rule applies to
  --runasusercat=['all']
                        RunAs User category the rule applies to
  --runasgroupcat=['all']
                        RunAs Group category the rule applies to
...
0
abbra