在 OpenLDAP 2.4.x 上啟用 LDAP 管理的 sudo 權限？

我一直在尋找將 sudo 管理添加到 openldap 的說明，但我發現所有這些說明都涉及更改 ldap.conf。最新版本的 slapd 使用基於目錄文件的數據庫，您不應該直接接觸。

是否有在 CentOS 7 上的 OpenLDAP 2.4.x 上配置 sudo 權限的指南？

事實上，有：openldap-sudoers-schema.ldif

主要 LDAP Sudoers 文件

有兩種主要方法可以做到這一點，或者通過 ldif 文件創建 ldapSUDOER.schema，或者通過創建基於每個主機授予 sudo 權限的 posixgroup。您可以混合和匹配這些，但選擇 ldapSUDOER 方法的成本最小。您不必通過更改/etc/sudoers文件來配置單個主機伺服器，而是可以從您的 LDAP 伺服器管理它，這更方便一些。

如果您有很多更改，它也會更安全，因為很容易忘記您在每個主機上所做的更改。隨著時間的流逝，像這樣的剩菜可能會在您的安全性中留下很小的漏洞。

無論您是使用專用的 sudoers 模式還是使用 posix 路由，都需要根據您通過 LDAP 設置身份驗證的方式進行一些 PAM 和 SSSD/NSCD 配置更改。

RedHat 還提供了與 CentOS 幾乎相同的指南。實際上，我將本指南用於我自己在 Debian 上的 OpenLDAP 實現，它對於必要的 sssd 和 pam 配置組件仍然非常有用。

我想建議您在弄亂 PAM 配置時要謹慎，因為任何更改都可能破壞系統上的身份驗證。確保您在進行更改時始終在伺服器上打開本地會話，並在關閉會話之前徹底測試身份驗證。還強烈建議您在開始之前進行系統備份，以便在需要時進行備用。

——乾杯！

引用自：https://serverfault.com/questions/954180