Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.5.4. サービスの設定: sudo

sudo での SSSD の仕組み

sudo ユーティリティーを使用すると、指定したユーザーへの管理者アクセスが可能になります。sudo の詳細は、『システム管理者のガイド』で sudo ユーティリティーのドキュメント を参照してください。
sudo が SSSD を参照するように設定できます。この設定では、以下が行われます。
  1. ユーザーが sudo 操作を試みると、SSSD は LDAP または AD に問い合わせて、現在の sudo 設定に関する必要な情報を取得します。
  2. SSSD は sudo 情報をキャッシュに保存します。これにより、LDAP サーバーまたは AD サーバーがオフラインであっても sudo 操作を実行できます。
SSSD は、sudoHost 属性の値に応じて、ローカルシステムに適用する sudo ルールのみをキャッシュします。詳細は sssd-sudo(5) の man ページを参照してください。

SSSD を使用するように sudo を設定する

  1. /etc/nsswitch.conf ファイルを開きます。
  2. sudoers 行の一覧に SSSD を追加します。 
    sudoers: files sss

sudo で動作するように SSSD を設定する

  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. [sssd] セクションで、sudo を SSSD が管理するサービス一覧に追加します。 
    [sssd]
services = nss,pam,sudo
  3. [sudo] セクションを新たに作成します。空欄のままにすることができます。 
    [sudo]
    利用可能なオプションの一覧は、sssd.conf(5) の man ページの SUDO 設定オプション を参照してください。
  4. SSSD がディレクトリーから sudo 情報を読み取ることができるように、LDAP または AD ドメインが sssd.conf で利用可能であることを確認してください。詳細は、次を参照してください。
    LDAP または AD ドメインの [domain] セクションには、以下の sudo 関連パラメーターを含める必要があります。 
    [domain/LDAP_or_AD_domain]
...
sudo_provider = ldap
ldap_sudo_search_base = ou=sudoers,dc=example,dc=com
    注記
    Identity Management または AD を ID プロバイダーとして設定すると、sudo プロバイダーが自動的に有効になります。このような場合には、sudo_provider パラメーターを指定する必要はありません。
    利用可能なオプションの一覧は、sssd.conf(5) の man ページの DOMAIN SECTIONS を参照してください。
    sudo プロバイダーに利用可能なオプションは、sssd-ldap(5) の man ページを参照してください。
  5. SSSD を再起動します。 
    # systemctl restart sssd.service
AD をプロバイダーとして使用する場合は、AD スキーマを拡張して sudo ルールに対応する必要があります。詳細は sudo ドキュメントを参照してください。
LDAP または AD で sudo ルールを提供する方法は、sudoers.ldap(5) の man ページを参照してください。