第30章 sudo の使用

Identity Management には、sudo ポリシーを IdM ドメイン全体に予測通りかつ一貫性を持って適用するメカニズムがあります。IdM ドメイン内のシステムはすべて、sudo クライアントとして設定することが可能です。

30.1. The sudo Utility in Identity Management

The sudo utility gives administrative access to specified users. When trusted users precede an administrative command with sudo, they are prompted for their own password. Then, when they have been authenticated and assuming that the command is permitted, the administrative command is executed as if they were the root user. For more information about sudo, see the System Administrator's Guide.

30.1.1. The Identity Management LDAP Schema for sudo

IdM には、sudo エントリー用の特別な LDAP スキーマがあります。これは以下をサポートしています。
  • ホストグループおよび netgroup。sudo がサポートしているのは netgroup のみであることに注意してください。
  • sudo コマンドグループ。これには複数のコマンドが含まれます。

注記

sudo はホストグループやコマンドグループをサポートしないので、sudo ルールの作成時に IdM は IdM sudo 設定をネイティブの sudo 設定に変換します。たとえば、IdM は各ホストグループに対応するシャドウ netgroup を作成し、これにより IdM 管理者はホストグループを参照する sudo ルールを作成することができます。一方で、ローカルの sudo コマンドは対応する netgroup を使用します。
デフォルトでは sudo 情報は、LDAP で匿名で利用可能ではないので、IdM はデフォルトの sudo ユーザーを uid=sudo,cn=sysaccounts,cn=etc,$SUFFIX で定義します。このユーザーは、/etc/sudo-ldap.conf にある LDAP sudo 設定ファイルで変更することが可能です。

30.1.2. NIS ドメイン名要件

netgroup と sudo が正常に機能するには、NIS ドメイン名を設定する必要があります。sudo の設定には、NIS 形式 netgroup と netgroup 用の NIS ドメイン名が必要になります。ただし、この NIS ドメイン自体が存在する必要はありません。また、NIS サーバーがインストールされている必要もありません。

注記

ipa-client-install ユーティリティーは、デフォルトで NIS ドメイン名を自動的に IdM ドメイン名に設定します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。