Chapitre 20. Accorder un accès sudo à un utilisateur IdM sur un client IdM

Les administrateurs système peuvent accorder l'accès sudo pour permettre aux utilisateurs non root d'exécuter des commandes administratives qui sont normalement réservées à l'utilisateur root. Par conséquent, lorsque les utilisateurs doivent exécuter une commande administrative normalement réservée à l'utilisateur root, ils font précéder cette commande de sudo. Après avoir introduit son mot de passe, la commande est exécutée comme s'il s'agissait de l'utilisateur root. Pour exécuter une commande sudo en tant qu'autre utilisateur ou groupe, tel qu'un compte de service de base de données, vous pouvez configurer une règle RunAs alias pour sudo.

Si un hôte Red Hat Enterprise Linux (RHEL) 8 est inscrit en tant que client Identity Management (IdM), vous pouvez spécifier les règles sudo définissant quels utilisateurs IdM peuvent exécuter quelles commandes sur l'hôte de la manière suivante :

Cette section décrit la création d'un central sudo rule pour un client IdM à l'aide de l'interface de ligne de commande (CLI) et de l'interface Web IdM.

Vous pouvez également configurer l'authentification sans mot de passe pour sudo à l'aide de l'interface GSSAPI (Generic Security Service Application Programming Interface), le moyen natif pour les systèmes d'exploitation basés sur UNIX d'accéder aux services Kerberos et de les authentifier. Vous pouvez utiliser pam_sss_gss.so Pluggable Authentication Module (PAM) pour invoquer l'authentification GSSAPI via le service SSSD, ce qui permet aux utilisateurs de s'authentifier auprès de la commande sudo à l'aide d'un ticket Kerberos valide.