Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

30.3. sudo ポリシーを検索する場所の設定

sudo 設定の一元化された IdM データベースにより、IdM で定義された sudo ポリシーは、すべてのドメインホストでグローバルに利用できるようになります。Red Hat Enterprise Linux 7.1 システム以降では、ipa-server-install ユーティリティーおよび ipa-client-install ユーティリティーが、SSSD を sudo のデータプロバイダーとして設定することで、IdM 定義ポリシーを使用するようにシステムを自動的に設定します。
sudo ポリシーを検索する場所は、/etc/nsswitch.conf ファイルの sudoers 行で定義されます。Red Hat Enterprise Linux 7.1 以降を実行している IdM システムでは、nsswitch.conf のデフォルトの sudoers 設定は以下のようになります。
sudoers: files sss
files オプションは、システムが /etc/sudoers のローカルの SSSD 設定ファイルで定義された sudo 設定を使用するように指定します。sss オプションは、IdM で定義された sudo 設定を使用することを指定します。

30.3.1. IdM バージョンの IdM で IdM sudo ポリシーを使用するようにホストを設定

7.1 よりも前のバージョンの Red Hat Enterprise Linux を実行している IdM 定義の sudo ポリシーを実装するには、ローカルマシンを手動で設定します。これは、SSSD または LDAP を使用して実行できます。Red Hat は、SSSD ベースの設定を使用することを強く推奨します。

30.3.1.1. SSSD を使用した sudo ポリシーのホストへの適用

sudo ルールに SSSD を使用する必要がある各システムで、以下の手順を実行します。
  1. sudo を設定して、sudoers ファイルの SSSD を検索します。
    # vim /etc/nsswitch.conf
    
    sudoers:  files sss
    files オプションをそのままにすると、sudo は、IdM 設定の SSSD を確認する前にローカル設定を確認することができます。
  2. sudo を、ローカルの SSSD クライアントが管理するサービス一覧に追加します。
    # vim /etc/sssd/sssd.conf
    
    [sssd]
    config_file_version = 2
    services = nss, pam, sudo
    domains = IPADOMAIN
  3. sudo 設定で NIS ドメインの名前を設定します。sudo は NIS 形式のネットグループを使用するため、sudo が IdM sudo 設定で使用されるホストグループを検索できるように、NIS ドメイン名はシステム設定で設定する必要があります。
    1. rhel-domainname サービスが有効になっていない場合は、NIS ドメイン名が再起動後も維持されるようにします。
      # systemctl enable rhel-domainname.service
    2. sudo ルールで使用する NIS ドメイン名を設定します。
      # nisdomainname example.com
    3. NIS ドメイン名が維持されるようにシステム認証設定を設定します。以下に例を示します。
      # echo "NISDOMAIN=example.com" >> /etc/sysconfig/network
      これにより、NIS ドメインを持つ /etc/sysconfig/network ファイルおよび /etc/yp.conf ファイルが更新されます。
    4. rhel-domainname サービスを再起動します。
      # systemctl restart rhel-domainname.service
  4. オプションで、SSSD のデバッグを有効にして、使用している LDAP 設定を表示することができます。
    [domain/IPADOMAIN]
    debug_level = 6
    ....
    SSSD が操作に使用する LDAP 検索ベースは、sssd_DOMAINNAME .logログに記録されます。

30.3.1.2. LDAP を使用して sudo ポリシーをホストに適用する

重要
SSSD を使用しないクライアントに LDAP ベースの設定のみを使用してください。Red Hat は、に従って、SSSD 「SSSD を使用した sudo ポリシーのホストへの適用」
LDAP ベースの設定は、主に Red Hat Enterprise Linux 7 よりも前のバージョンの Red Hat Enterprise Linux をベースとするクライアントに使用することが期待されています。したがって、Red Hat Enterprise Linux 6 のドキュメントにのみ説明されています。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。