21.3. sudo ルールの定義

sudo ルールは、誰 が 何を、どこで で 誰として行うことができるかという 4 つの要素を定義します。who が通常のユーザーであり、as whom は、ユーザーがタスクの実行に使用するシステムまたは他のユーザー ID です。これらのタスクは、ターゲットマシンで実行できる (実行しない) システムコマンドです。

これら 3 つの要素 who、who、where はアイデンティティーです。これらはユーザーです。多くの場合、環境内のシステムユーザーと、IdM ドメインに属するユーザーおよびホストとの間に重複があるため、これらのアイデンティティーは IdM ドメイン内のエンティティーになります。

ただし、sudo ポリシーが現実的にカバーできるすべてのアイデンティティーが必ずしも当てはまるわけではありません。たとえば、sudo ルールを使用して、IdM の IT グループのメンバーに root アクセスを付与でき、root ユーザーは IdM のユーザーではありません。別の例では、ネットワーク上にあるものの IdM ドメインの一部ではない特定ホストへのアクセスを管理者はブロックする場合もあります。

Identity Management の sudo ルールは、外部 ユーザーの概念 (つまり、保存され、IdM 設定外に存在するユーザー) をサポートします。

sudo ルールを設定する際に、ユーザーおよび run-as 設定は sudo ルールに含めて評価できるように、外部アイデンティティーを参照することができます。