30.2. Identity Management での sudo ルール

sudo ルールを使用することで、どこで、および誰としてという要素を定義できます。
  • は、sudo を使用できるユーザーです。
  • は、sudo で使用できるコマンドです。
  • どこで は、ユーザーが sudo を使用できるターゲットホストです。
  • 誰として は、ユーザーがタスクを実行する上で装うシステムまたはユーザー ID です。

30.2.1. sudo ルールにおける外部ユーザーとホスト

IdM は、sudo ルールで外部のエンティティーを受け付けます。外部のエンティティーとは、IdM ドメインの一部ではないユーザーやホストなど、IdM ドメイン外で保存されているエンティティーです。
たとえば、sudo ルールを使って IdM 内の IT グループのメンバーに root アクセスを付与することができます。この場合の root ユーザーは、IdM ドメインで定義されているユーザーではありません。別の例では、ネットワーク上にあるものの IdM ドメインの一部ではない特定ホストへのアクセスを管理者はブロックすることができます。

30.2.2. sudo ルールでのユーザーグループのサポート

sudo を使って、IdM のユーザーグループ全体にアクセスを付与することができます。IdM では、Unix および 非 POSIX グループの両方に対応しています。非 POSIX グループを作成すると、非 POSIX グループ内のユーザーはこのグループから非 POSIX パーミッションを継承するため、アクセス問題が発生する場合があることに注意してください。

30.2.3. sudoersオプションのサポート

IdM は sudoers オプションをサポートしています。利用可能な sudoers オプションの全一覧については、sudoers(5) man ページを参照してください。
IdM は sudoers オプションで空白や改行を受け付けないことに注意してください。このため、複数のオプションはコンマ区切りリストではなく、個別のコマンドで追加してください。たとえば、sudoers オプション 2 つをコマンドラインから追加するには、以下のようにします。
$ ipa sudorule-add-option sudo_rule_name
Sudo Option: first_option
$ ipa sudorule-add-option sudo_rule_name
Sudo Option: second_option
同様に、長いオプションでも以下のように一行で提供します。
$ ipa sudorule-add-option sudo_rule_name
Sudo Option: env_keep="COLORS DISPLAY EDITOR HOSTNAME HISTSIZE INPUTRC KDEDIR LESSSECURE LS_COLORS MAIL PATH PS1 PS2 XAUTHORITY"