Debian e LDAP para sudo

2

Estou no debian e quero que o sudo use o ldap em vez do / etc / sudoers. Alguém tem experiência fazendo isso?

    
por Joe Dean 23.07.2009 / 02:25

5 respostas

6

O moderno sudo tem a capacidade de usar o ldap. Na minha opinião, isso é desajeitado e propenso ao fracasso, mas essa é apenas a minha experiência. link

Eu definitivamente prefiro usar netgroups para expandir as configurações locais do sudo, em vez de depender completamente do ldap. Minha regra é, se for necessário executar o servidor, ele deve ser local. Somente contas de usuários não-pessoais, etc, vão em ldap / nis / whatnot.

    
por 23.07.2009 / 03:34
3

Eu não acho que isso seja propenso a falhas, pois você pode ter um arquivo de sudoers de backup local, portanto, mesmo que o servidor LDAP esteja inoperante, você ainda pode usar o SUDO para mantê-lo e, assim, os administradores podem restaurar a conexão com o servidor LDAP .

É muito simples de fazer, e você preferirá ter um arquivo sudoers centralizado em vez de muitos sudoers locais quando tiver algo como mais 100 servidores para gerenciar.

Além disso, veja isto, extrair do site do sudo:

Usar o LDAP para sudoers tem vários benefícios:

  • O Sudo não precisa mais ler sudoers em sua totalidade. Quando o LDAP é usado, existem apenas duas ou três consultas LDAP por chamada. Isso faz com que seja especialmente rápido e particularmente utilizável em ambientes LDAP.

  • O sudo não sai mais se houver um erro de digitação nos sudoers. Não é possível carregar dados LDAP no servidor que não estejam em conformidade com o esquema sudoers, portanto, a sintaxe adequada é garantida. Ainda é possível ter erros de digitação em um nome de usuário ou host, mas isso não impedirá que o sudo seja executado.

  • É possível especificar opções por entrada que substituem as opções padrão globais. O / etc / sudoers suporta apenas opções padrão e opções limitadas associadas ao usuário / host / comandos / aliases. A sintaxe é complicada e pode ser difícil para os usuários entenderem. Colocar as opções diretamente na entrada é mais natural.

  • O programa visudo não é mais necessário. visudo fornece verificação de bloqueio e sintaxe do arquivo / etc / sudoers. Como as atualizações do LDAP são atômicas, o bloqueio não é mais necessário. Como a sintaxe é verificada quando os dados são inseridos no LDAP, não há necessidade de uma ferramenta especializada para verificar a sintaxe.

por 23.07.2009 / 15:42
1

Eu consegui compilar o sudo com a opção --with-ldap que permite usar um diretório LDAP. A sudo source vem com um esquema que pode ser carregado no LDAP e permite que ele use o diretório em vez de / etc / sudoers

    
por 24.07.2009 / 22:11
0

Eu presumo que você queira dizer que o sudo deve usar o ldap;)

A maneira mais fácil de fazer isso é conceder sudo a um grupo via / etc / sudoers e, em seguida, controlar a associação desse grupo via ldap.

    
por 23.07.2009 / 02:29
0

Nós tentamos colocar sudoers no ldap, mas achamos que a maneira mais fácil de gerenciar o sudo (e controles de acesso) era combinar membros do grupo ldap com uma ferramenta de gerenciamento de configuração centralizada que poderia enviar arquivos acl e sudoers para um servidor ou grupos de servidores.

Usamos o pam_access para controlar o acesso a servidores e o fantoche para distribuir arquivos e impor acls, mas existem outras ferramentas de gerenciamento de configuração, como o cfengine, que também funcionam.

    
por 01.03.2010 / 20:24

Tags