OpenLDAP 中等效的 Sudo 命令別名選項

我有一個管理 Sudo 的 OpenLDAP 安裝。每次創建 sudoers 角色時，我都必須列出該 sudoers 角色可以執行的命令。這會導致很多重複。

有沒有辦法以網路組的方式對 linux 命令進行分組，並在 LDAP sudoers 角色 SudoCommand 欄位中擴展該網路組？例如：使用成員 /bin/ls、/usr/bin/less、/usr/bin/tail 創建一個名為“view”的網路組（或其他名稱），然後在 SudoCommand 欄位中輸入 +view。

當需要將相同的命令授予不同目錄/文件的各種 SudoRoles 時，這將是有益的嗎？

目前，這在目前的 sudoers.schema 定義中不存在，並且 sudo-ldap 軟體本身可能無法對其進行查找。您必須在命令定義中列出每個命令。

但是如果你的命令在一個公共目錄中，你可以使用一些正則表達式來引用它：sudoCommand = /usr/lib/nagios/plugins/*

我就是這樣做的。

引用自：https://serverfault.com/questions/567528