Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第29章 sudo の使用

Identity Management には、sudo ポリシーを IdM ドメイン全体に予測通りかつ一貫性を持って適用するメカニズムがあります。IdM ドメイン内のシステムはすべて、sudo クライアントとして設定することが可能です。

29.1. Identity Management の sudo ユーティリティー

sudo ユーティリティーを使うと、指定されたユーザーに管理アクセスが与えられます。信頼できるユーザーが sudo を管理コマンドの前に付けると、ユーザー自身の パスワードが要求されます。ユーザーが認証され、コマンドが許可されると、管理コマンドは root ユーザーのように実行されます。sudo についての詳細情報は、『システム管理者のガイド』を参照してください。

29.1.1. sudo 向け Identity Management LDAP スキーマ

IdM には、sudo エントリー用の特別な LDAP スキーマがあります。これは以下をサポートしています。
  • ホストグループおよび netgroup。sudo がサポートしているのは netgroup のみであることに注意してください。
  • sudo コマンドグループ。これには複数のコマンドが含まれます。

注記

sudo はホストグループやコマンドグループをサポートしないので、sudo ルールの作成時に IdM は IdM sudo 設定をネイティブの sudo 設定に変換します。たとえば、IdM は各ホストグループに対応するシャドウ netgroup を作成し、これにより IdM 管理者はホストグループを参照する sudo ルールを作成することができます。一方で、ローカルの sudo コマンドは対応する netgroup を使用します。
デフォルトでは sudo 情報は、LDAP で匿名で利用可能ではないので、IdM はデフォルトの sudo ユーザーを uid=sudo,cn=sysaccounts,cn=etc,$SUFFIX で定義します。このユーザーは、/etc/sudo-ldap.conf にある LDAP sudo 設定ファイルで変更することが可能です。

29.1.2. NIS ドメイン名要件

netgroup と sudo が正常に機能するには、NIS ドメイン名を設定する必要があります。sudo の設定には、NIS 形式 netgroup と netgroup 用の NIS ドメイン名が必要になります。ただし、この NIS ドメイン自体が存在する必要はありません。また、NIS サーバーがインストールされている必要もありません。

注記

ipa-client-install ユーティリティーは、デフォルトで NIS ドメイン名を自動的に IdM ドメイン名に設定します。