Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

30.3. sudo ポリシーを検索する場所の設定

sudo 設定用の集中 IdM データベースにより、IdM で定義されるsudo ポリシーは、すべてのドメインホストでグローバルに利用できます。Red Hat Enterprise Linux 7.1 以降のシステムでは、SSSD を sudo のデータプロバイダーとして設定することで、ipa-server-install および ipa-client-install ユーティリティーは、IdM が定義したポリシーを使用するようにシステムを自動的に設定します。
sudo ポリシーを検索する場所は、/etc/nsswitch.conf ファイルの sudoers 行で定義されます。Red Hat Enterprise Linux 7.1 以降を実行している IdM システムでは、nsswitch.conf のデフォルトの sudoers 設定は以下のようになります。
sudoers: files sss
files オプションは、システムが、/etc/sudoers ローカル SSSD 設定ファイルで定義された sudo 設定を使用することを指定します。sss オプションは、IdM で定義された sudo 設定を使用することを指定します。

30.3.1. 以前のバージョンの IdM で IdM sudo ポリシーを使用するためのホスト設定

7.1 よりも前の Red Hat Enterprise Linux のバージョンを実行している IdM システムに IdM が定義した sudo ポリシーを実装するには、ローカルマシンを手動で設定します。これは、SSSD または LDAP を使用して実行できます。Red Hat では、SSSD ベースの設定を使用することを強く推奨しています。

30.3.1.1. SSSD を使用した sudo ポリシーのホストへの適用

sudo ルール用に SSSD を使用する必要のある各システムで、以下の手順を実行します。
  1. sudoers ファイルで SSSD をルックアップするよう sudo を設定します。
    # vim /etc/nsswitch.conf
    
    sudoers:  files sss
    この files オプションをそのままにすると、sudo で、IdM 設定について SSSD を確認する前にローカル設定を確認することができます。
  2. sudo を、ローカルの SSSD クライアントが管理するサービスリストに追加します。
    # vim /etc/sssd/sssd.conf
    
    [sssd]
    config_file_version = 2
    services = nss, pam, sudo
    domains = IPADOMAIN
  3. sudo 設定で NIS ドメインの名前を設定します。sudo は NIS スタイルの netgroup を使用するので、sudo が IdM sudo 設定で使用されているホストグループを発見できるようにするには、NIS ドメイン名はシステム設定で設定する必要があります。
    1. rhel-domainname サービスをまだ有効にしていない場合は、このサービスを有効にして、NIS ドメイン名が再起動後も維持されるようにします。
      # systemctl enable rhel-domainname.service
    2. sudo ルールで使用する NIS ドメイン名を設定します。
      # nisdomainname example.com
    3. NIS ドメイン名が維持されるようにシステム認証設定を設定します。以下に例を示します。
      # echo "NISDOMAIN=example.com" >> /etc/sysconfig/network
      これにより、NIS ドメインを持つ /etc/sysconfig/network および /etc/yp.conf ファイルが更新されます。
    4. rhel-domainname サービスを再起動します。
      # systemctl restart rhel-domainname.service
  4. オプションで、SSSD 内のデバッグを有効にして、使用している LDAP 設定を表示することができます。
    [domain/IPADOMAIN]
    debug_level = 6
    ....
    SSSD が操作に使用する LDAP 検索ベースは、sssd_DOMAINNAME.log ログに記録されます。

30.3.1.2. LDAP を使用した sudo ポリシーのホストへの適用

重要
SSSD を使用しないクライアントには LDAP ベースの設定のみを使用してください。Red Hat では、他のクライアントに関しては SSSD ベースの設定を使用することを推奨しています。これについては、「SSSD を使用した sudo ポリシーのホストへの適用」 を参照してください。
LDAP を使用して sudo ポリシーを適用する方法は、『Red Hat Enterprise Linux 6 Identity Management Guide』のApplying the sudo Policies to Hosts Using LDAPを参照してください。
LDAP ベースの設定は、主に、Red Hat Enterprise Linux 7 よりも古いバージョンの Red Hat Enterprise Linux をベースとするクライアントに使用されることが想定されます。したがって、Red Hat Enterprise Linux 6 のドキュメントのみで説明されています。