29.3. sudo ポリシーをルックアップする場所の設定

sudo 設定用の中央 IdM データベースは、IdM で定義された sudo ポリシーをグローバルで全ドメインホストに利用可能とします。Red Hat Enterprise Linux 7.1 以降のシステムでは、SSSD を sudo 用のデータプロバイダーとして設定することで、システムが IdM 定義のポリシーを使用するよう、ipa-server-installipa-client-install のユーティリティーが自動的に設定します。
sudo ポリシーをルックアップする場所は、/etc/nsswitch.conf ファイルの sudoers の行で定義します。Red Hat Enterprise Linux 7.1 以降で実行している IdM では、 nsswitch.conf でのsudoers のデフォルト設定は以下のようになります。
sudoers: files sss
files オプションは、/etc/sudoers のローカル SSSD 設定ファイルで定義された sudo 設定をシステムが使用することを指定します。sss オプションは、IdM で定義された sudo 設定を使用することを指定します。

29.3.1. ホストが IdM の以前のバージョンの IdM sudo ポリシーを使用する設定

IdM 定義の sudo ポリシーを Red Hat Enterprise Linux 7.1 より前のバージョンで稼働する IdM システムに実装するには、ローカルマシンを手動で設定する必要があります。これは SSSD または LDAP を使用することで可能になります。Red Hat では、SSSD ベースの設定を使用することを強く推奨しています。

29.3.1.1. SSSD を使用した sudo ポリシーのホストへの適用

sudo ルールに SSSD を使用する必要があるシステムで、以下のステップを実行します。
  1. sudoers ファイルで SSSD をルックアップするよう sudo を設定します。
    # vim /etc/nsswitch.conf
    
    sudoers:  files sss
    files オプションを残しておくと、sudo は IdM 設定を SSSD でチェックする前にローカル設定をチェックします。
  2. sudo を、ローカルの SSSD クライアントが管理するサービス一覧に追加します。
    # vim /etc/sssd/sssd.conf
    
    [sssd]
    config_file_version = 2
    services = nss, pam, sudo
    domains = IPADOMAIN
  3. sudo 設定で NIS ドメインの名前を設定します。sudo は NIS スタイルの netgroup を使用するので、sudo が IdM sudo 設定で使用されているホストグループを発見できるようにするには、NIS ドメイン名はシステム設定で設定する必要があります。
    1. rhel-domainname サービスが有効になっていない場合はこれを有効にし、NIS ドメイン名が再起動後も維持されるようにします。
      # systemctl enable rhel-domainname.service
    2. sudo ルールで使用する NIS ドメイン名を設定します。
      # nisdomainname example.com
    3. NIS ドメイン名が維持されるようにシステム認証設定を設定します。例を示します。
      # echo "NISDOMAIN=example.com" >> /etc/sysconfig/network
      これで NIS ドメインを使って /etc/sysconfig/network および /etc/yp.conf のファイルが更新されます。
  4. オプションで、SSSD 内のデバッグを有効にして、使用している LDAP 設定を表示することができます。
    [domain/IPADOMAIN]
    debug_level = 6
    ....
    SSSD が使用する LDAP 検索ベースは、sssd_DOMAINNAME.log のログに記録されます。

29.3.1.2. LDAP を使用して sudo ポリシーをホストに適用する

重要

SSSD を使用しないクライアントでは、LDAP ベースの設定のみを使用してください。Red Hat では、他のクライアントに関しては SSSD ベースの設定を使用することを推奨しています。これについては、「SSSD を使用した sudo ポリシーのホストへの適用」 を参照してください。
LDAP を使用した sudo ポリシー適用に関する情報は、Identity Management Guide for Red Hat Enterprise Linux 6 を参照してください。
LDAP ベースの設定は、主に Red Hat Enterprise Linux 7 よりも前のバージョンの Red Hat Enterprise Linux 上のクライアントで使用することが想定されています。このため、これについては Red Hat Enterprise Linux 6 のドキュメントで説明されています。