主页 / server / 问题 / 560234
Accepted
HTTP500
Asked: 2013-12-10 15:54:02 +0800 CST

使用 FreeIPA 进行集中式 sudo - 如何指定所有命令?

  • 772

我很难理解 FreeIPA 的模型。FreeIPA手册指出:

FreeIPA 使用 sudo 命令组添加了一个额外的控制措施,它允许定义一组命令,然后将其作为一个命令应用于 sudo 配置。

但是他们的示例基本上是关于创建一个 sudo 命令组并将特定sudo 命令添加到“文件”sudo 命令组中。vimless

例如从命令行:

ipa sudocmdgroup-add --desc 'File editing commands' files

ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'

ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files

但是你如何ALL像在 /etc/sudoers 中那样指定呢?这可以通配符(例如*)吗?

sudo

2 个回答

  1. Best Answer

    如果您希望一组用户能够使用sudo. 您只需要一个允许所有命令的 sudo 规则,并且在安装 FreeIPA 时默认为您创建一个。

    # ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
  Rule name: All
  Enabled: TRUE
  Host category: all
  Command category: all
  RunAs User category: all
  User Groups: admins
----------------------------
Number of entries returned 1
----------------------------

    (如果不存在这样的规则,请创建它。)

    ipa sudorule-add --cmdcat=all All

    只需将用户或组添加到您希望能够sudo使用任何命令的 sudo 规则。

    ipa sudorule-add-user --groups=admins All

    如果您愿意,也可以从 Web UI 执行此操作。

    • 14

  2. 当您想添加ALL到规则时,可以使用带有 value 的类别选项all。对于将是--cmdcat=all, 对于主机 -- --hostcat=all, 对于用户 ----usercat=all以及下面的更多命令。

    所有这些选项都可见于ipa sudorule-add --help

    $ ipa sudorule-add --help
Usage: ipa [global-options] sudorule-add SUDORULE-NAME [options]

Create new Sudo Rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            Description
  --usercat=['all']     User category the rule applies to
  --hostcat=['all']     Host category the rule applies to
  --cmdcat=['all']      Command category the rule applies to
  --runasusercat=['all']
                        RunAs User category the rule applies to
  --runasgroupcat=['all']
                        RunAs Group category the rule applies to
...
    • 1

相关问题