Sudo

使用 FreeIPA 進行集中式 sudo - 如何指定所有命令?

  • July 28, 2019

我很難理解 FreeIPA 的模型。FreeIPA手冊指出:

FreeIPA 使用 sudo 命令組添加了一個額外的控制措施,它允許定義一組命令,然後將其作為一個命令應用於 sudo 配置。

但是他們的範例基本上是關於創建一個 sudo 命令組並將特定sudo 命令添加到“文件”sudo 命令組中。vim``less

例如從命令行:

ipa sudocmdgroup-add --desc 'File editing commands' files

ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'

ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files

但是你如何ALL像在 /etc/sudoers 中那樣指定呢?這可以萬用字元(例如*)嗎?

如果您希望一組使用者能夠使用sudo. 您只需要一個允許所有命令的 sudo 規則,並且在安裝 FreeIPA 時預設為您創建一個。

# ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
 Rule name: All
 Enabled: TRUE
 Host category: all
 Command category: all
 RunAs User category: all
 User Groups: admins
----------------------------
Number of entries returned 1
----------------------------

(如果不存在這樣的規則,請創建它。)

ipa sudorule-add --cmdcat=all All

只需將使用者或組添加到您希望能夠sudo使用任何命令的 sudo 規則。

ipa sudorule-add-user --groups=admins All

如果您願意,也可以從 Web UI 執行此操作。

引用自:https://serverfault.com/questions/560234