Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

30.3. sudo 정책 검색을 위한 위치 구성

sudo 구성을 위한 중앙 집중식 IdM 데이터베이스를 사용하면 모든 도메인 호스트에서 IdM에 정의된 sudo 정책을 전역적으로 사용할 수 있습니다. Red Hat Enterprise Linux 7.1 시스템 이상에서는 ipa-server-installipa-client-install 유틸리티에서 SSSD를 sudo 의 데이터 공급자로 설정하여 시스템이 IdM 정의 정책을 사용하도록 자동으로 구성됩니다.
sudo 정책을 조회하기 위한 위치는 /etc/nsswitch.conf 파일의 sudoers 행에 정의되어 있습니다. Red Hat Enterprise Linux 7.1 이상을 실행하는 IdM 시스템에서 nsswitch.conf 의 기본 sudoers 구성은 다음과 같습니다. 
sudoers: files sss
files 옵션은 시스템이 /etc/sudoers 로컬 SSSD 구성 파일에 정의된 sudo 구성을 사용하도록 지정합니다. sss 옵션은 IdM에 정의된 sudo 구성이 사용되도록 지정합니다.

30.3.1. IdM 이전 버전에서 IdM sudo 정책을 사용하도록 호스트 구성

7.1 이전 Red Hat Enterprise Linux 버전을 실행하는 IdM 시스템에 IdM 정의 sudo 정책을 구현하려면 로컬 시스템을 수동으로 설정합니다. SSSD 또는 LDAP를 사용하여 이 작업을 수행할 수 있습니다. Red Hat은 SSSD 기반 구성을 사용할 것을 강력하게 권장합니다.

30.3.1.1. SSSD를 사용하여 호스트에 sudo 정책 적용

sudo 규칙에 SSSD를 사용하는 데 필요한 각 시스템에서 다음 단계를 따르십시오.
  1. sudoers 파일에 대해 SSSD를 찾도록 sudo 를 설정합니다. 
    # vim /etc/nsswitch.conf

sudoers:  files sss
    files 옵션을 제 위치에 두면 sudo 가 IdM 구성에 SSSD를 확인하기 전에 로컬 구성을 확인할 수 있습니다.
  2. 로컬 SSSD 클라이언트가 관리하는 서비스 목록에 sudo 를 추가합니다. 
    # vim /etc/sssd/sssd.conf

[sssd]
config_file_version = 2
services = nss, pam, sudo
domains = IPADOMAIN
  3. sudo 구성에서 NIS 도메인의 이름을 설정합니다. sudo 는 NIS 스타일 netgroups를 사용하므로 IdM sudo 구성에 사용된 호스트 그룹을 찾을 수 있도록 sudo 의 시스템 구성에 NIS 도메인 이름을 설정해야 합니다.
    1. 재부팅해도 NIS 도메인 이름이 지속되는지 확인하기 위해 rhel-domainname 서비스를 활성화하십시오. 
      # systemctl enable rhel-domainname.service
    2. sudo 규칙에 사용할 NIS 도메인 이름을 설정합니다. 
      # nisdomainname example.com
    3. NIS 도메인 이름을 지속하도록 시스템 인증 설정을 구성합니다. 예를 들어 다음과 같습니다. 
      # echo "NISDOMAIN=example.com" >> /etc/sysconfig/network
      이렇게 하면 /etc/sysconfig/network/etc/yp.conf 파일이 NIS 도메인으로 업데이트됩니다.
    4. rhel-domainname 서비스를 다시 시작합니다. 
      # systemctl restart rhel-domainname.service
  4. 선택적으로 SSSD에서 디버깅을 활성화하여 사용 중인 LDAP 설정을 표시합니다. 
    [domain/IPADOMAIN]
debug_level = 6
....
    SSSD에서 작업에 사용하는 LDAP 검색 기반은 sssd_DOMAINNAME.log 로그에 기록됩니다.

30.3.1.2. LDAP를 사용하여 호스트에 sudo 정책 적용

중요
SSSD를 사용하지 않는 클라이언트에는 LDAP 기반 설정만 사용합니다. Red Hat은 30.3.1.1절. “SSSD를 사용하여 호스트에 sudo 정책 적용” 에 설명된 대로 SSSD 기반 구성을 사용하여 기타 모든 클라이언트를 구성할 것을 권장합니다.
LDAP를 사용하여 sudo 정책 적용에 대한 자세한 내용은 Red Hat Enterprise Linux 6 Identity Management Guide 에서 LDAP를 사용하여 호스트에 sudo 정책 적용을 참조하십시오.
LDAP 기반 구성은 주로 Red Hat Enterprise Linux 7 이전 Red Hat Enterprise Linux 버전을 기반으로 하는 클라이언트에 사용됩니다. 따라서 Red Hat Enterprise Linux 6에 대한 설명서에만 설명되어 있습니다.