Show Table of Contents
29.3.1. ホストが IdM の以前のバージョンの IdM
29.3.1.1. SSSD を使用した
29.3. sudo ポリシーをルックアップする場所の設定
sudo 設定用の中央 IdM データベースは、IdM で定義された sudo ポリシーをグローバルで全ドメインホストに利用可能とします。Red Hat Enterprise Linux 7.1 以降のシステムでは、SSSD を sudo 用のデータプロバイダーとして設定することで、システムが IdM 定義のポリシーを使用するよう、ipa-server-install と ipa-client-install のユーティリティーが自動的に設定します。
sudo ポリシーをルックアップする場所は、/etc/nsswitch.conf ファイルの sudoers の行で定義します。Red Hat Enterprise Linux 7.1 以降で実行している IdM では、 nsswitch.conf でのsudoers のデフォルト設定は以下のようになります。
sudoers: files sss
files オプションは、/etc/sudoers のローカル SSSD 設定ファイルで定義された sudo 設定をシステムが使用することを指定します。sss オプションは、IdM で定義された sudo 設定を使用することを指定します。
29.3.1. ホストが IdM の以前のバージョンの IdM sudo ポリシーを使用する設定
IdM 定義の
sudo ポリシーを Red Hat Enterprise Linux 7.1 より前のバージョンで稼働する IdM システムに実装するには、ローカルマシンを手動で設定する必要があります。これは SSSD または LDAP を使用することで可能になります。Red Hat では、SSSD ベースの設定を使用することを強く推奨しています。
29.3.1.1. SSSD を使用した sudo ポリシーのホストへの適用
sudo ルールに SSSD を使用する必要があるシステムで、以下のステップを実行します。
sudoersファイルで SSSD をルックアップするようsudoを設定します。# vim /etc/nsswitch.conf sudoers: files sss
filesオプションを残しておくと、sudoは IdM 設定を SSSD でチェックする前にローカル設定をチェックします。sudoを、ローカルの SSSD クライアントが管理するサービス一覧に追加します。# vim /etc/sssd/sssd.conf [sssd] config_file_version = 2 services = nss, pam,
sudodomains = IPADOMAINsudo設定で NIS ドメインの名前を設定します。sudoは NIS スタイルの netgroup を使用するので、sudoが IdMsudo設定で使用されているホストグループを発見できるようにするには、NIS ドメイン名はシステム設定で設定する必要があります。rhel-domainnameサービスが有効になっていない場合はこれを有効にし、NIS ドメイン名が再起動後も維持されるようにします。# systemctl enable rhel-domainname.service
sudoルールで使用する NIS ドメイン名を設定します。# nisdomainname example.com
- NIS ドメイン名が維持されるようにシステム認証設定を設定します。例を示します。
# echo "NISDOMAIN=example.com" >> /etc/sysconfig/network
これで NIS ドメインを使って/etc/sysconfig/networkおよび/etc/yp.confのファイルが更新されます。
- オプションで、SSSD 内のデバッグを有効にして、使用している LDAP 設定を表示することができます。
[domain/IPADOMAIN] debug_level = 6 ....
SSSD が使用する LDAP 検索ベースは、sssd_DOMAINNAME.logのログに記録されます。
29.3.1.2. LDAP を使用して sudo ポリシーをホストに適用する
重要
SSSD を使用しないクライアントでは、LDAP ベースの設定のみを使用してください。Red Hat では、他のクライアントに関しては SSSD ベースの設定を使用することを推奨しています。これについては、「SSSD を使用した
sudo ポリシーのホストへの適用」 を参照してください。
LDAP を使用した
sudo ポリシー適用に関する情報は、Identity Management Guide for Red Hat Enterprise Linux 6 を参照してください。
LDAP ベースの設定は、主に Red Hat Enterprise Linux 7 よりも前のバージョンの Red Hat Enterprise Linux 上のクライアントで使用することが想定されています。このため、これについては Red Hat Enterprise Linux 6 のドキュメントで説明されています。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.