Usando o FreeIPA para sudo centralizado - como especificar TODOS os comandos?

7

Estou tendo dificuldade em lidar com o modelo do FreeIPA. O manual do FreeIPA afirma:

FreeIPA adds an extra control measure with sudo command groups, which allow a group of commands to be defined and then applied to the sudo configuration as one.

Mas seus exemplos basicamente falam sobre como criar um grupo de comandos sudo e adicionar comandos em sudo particular como vim e less a um grupo de comandos sudo "files".

por exemplo. da linha de comando:

ipa sudocmdgroup-add --desc 'File editing commands' files

ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'

ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files

Mas como você especifica ALL como você faria em / etc / sudoers? Isso pode ser curinga (por exemplo, *)?

    
por HTTP500 10.12.2013 / 00:54

1 resposta

7

Você não precisa criar grupos de comando se quiser que um grupo de usuários possa executar qualquer comando com sudo . Você só precisa de uma regra sudo que permita todos os comandos, e um deve ter sido criado para você por padrão quando você instalou o FreeIPA.

# ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
  Rule name: All
  Enabled: TRUE
  Host category: all
  Command category: all
  RunAs User category: all
  User Groups: admins
----------------------------
Number of entries returned 1
----------------------------

(Se tal regra não existir, crie-a.)

ipa sudorule-add --cmdcat=all All

Basta adicionar os usuários ou grupos a essa regra sudo para que você possa sudo com qualquer comando.

ipa sudorule-add-user --groups=admins All

Você também pode fazer isso na interface da Web, se preferir.

    
por 10.12.2013 / 01:08

Tags