Centos

在 OpenLDAP 2.4.x 上啟用 LDAP 管理的 sudo 權限?

  • February 15, 2019

我一直在尋找將 sudo 管理添加到 openldap 的說明,但我發現所有這些說明都涉及更改 ldap.conf。最新版本的 slapd 使用基於目錄文件的數據庫,您不應該直接接觸。

是否有在 CentOS 7 上的 OpenLDAP 2.4.x 上配置 sudo 權限的指南?

事實上,有:openldap-sudoers-schema.ldif

主要 LDAP Sudoers 文件

有兩種主要方法可以做到這一點,或者通過 ldif 文件創建 ldapSUDOER.schema,或者通過創建基於每個主機授予 sudo 權限的 posixgroup。您可以混合和匹配這些,但選擇 ldapSUDOER 方法的成本最小。您不必通過更改/etc/sudoers文件來配置單個主機伺服器,而是可以從您的 LDAP 伺服器管理它,這更方便一些。

如果您有很多更改,它也會更安全,因為很容易忘記您在每個主機上所做的更改。隨著時間的流逝,像這樣的剩菜可能會在您的安全性中留下很小的漏洞。

無論您是使用專用的 sudoers 模式還是使用 posix 路由,都需要根據您通過 LDAP 設置身份驗證的方式進行一些 PAM 和 SSSD/NSCD 配置更改。

RedHat 還提供了與 CentOS 幾乎相同的指南。實際上,我將本指南用於我自己在 Debian 上的 OpenLDAP 實現,它對於必要的 sssd 和 pam 配置組件仍然非常有用。

我想建議您在弄亂 PAM 配置時要謹慎,因為任何更改都可能破壞系統上的身份驗證。確保您在進行更改時始終在伺服器上打開本地會話,並在關閉會話之前徹底測試身份驗證。還強烈建議您在開始之前進行系統備份,以便在需要時進行備用。

——乾杯!

引用自:https://serverfault.com/questions/954180