Red Hat Training

A Red Hat training course is available for RHEL 8

36.2. Conceder acesso sudo a um usuário IdM em um cliente IdM usando a IDM Web UI

Em Gerenciamento de Identidade (IdM), você pode conceder acesso a sudo para um comando específico para uma conta de usuário IdM em um host IdM específico. Primeiro, adicione um comando sudo e depois crie uma regra sudo para um ou mais comandos.

Complete este procedimento para criar a regra idm_user_reboot sudo para conceder a idm_user a permissão para executar o comando /usr/sbin/reboot na máquina idmclient.

Pré-requisitos

  • Você está logado como administrador da IdM.
  • Você criou uma conta de usuário para idm_user no IdM e desbloqueou a conta criando uma senha para o usuário. Para detalhes sobre como adicionar um novo usuário do IdM usando a interface de linha de comando, veja Adicionar usuários usando a linha de comando.
  • Nenhuma conta idm_user local foi criada em idmclient. O usuário idm_user não está listado no arquivo local /etc/passwd.

Procedimento

  1. Adicione o comando /usr/sbin/reboot ao banco de dados do IdM de sudo comandos:

    1. Navegue para PolicySudoSudo Commands.
    2. Clique em Add no canto superior direito para abrir a caixa de diálogo Add sudo command.

    3. Digite o comando que você quer que o usuário seja capaz de executar usando sudo: /usr/sbin/reboot.

      Figura 36.1. Adicionando o comando sudo IdM

      adding IdM sudo command
    4. Clique em Add.

  2. Use o novo comando sudo para criar uma regra sudo para permitir idm_user para reiniciar a máquina idmclient:

    1. Navegue para PolicySudoSudo rules.
    2. Clique em Add no canto superior direito para abrir a caixa de diálogo Add sudo rule.
    3. Digite o nome da regra sudo: idm_user_reboot.
    4. Clique em Add and Edit.

    5. Especifique o usuário:

      1. Na seção Who, verifique o botão de rádio Specified Users and Groups.
      2. Na subseção User category the rule applies to, clique em Add para abrir a caixa de diálogo Add users into sudo rule "idm_user_reboot".
      3. Na caixa de diálogo Add users into sudo rule "idm_user_reboot", na coluna Available, marque a caixa de seleção idm_user, e mova para a coluna Prospective.
      4. Clique em Add.

    6. Especifique o anfitrião:

      1. Na seção Access this host, verifique o botão de rádio Specified Hosts and Groups.
      2. Na subseção Host category this rule applies to, clique em Add para abrir a caixa de diálogo Add hosts into sudo rule "idm_user_reboot".
      3. Na caixa de diálogo Add hosts into sudo rule "idm_user_reboot", na coluna Available, marque a caixa de seleção idmclient.idm.example.com, e mova para a coluna Prospective.
      4. Clique em Add.

      1. Especifique os comandos:

        1. Na subseção Command category the rule applies to da seção Run Commands, verifique o botão de rádio Specified Commands and Groups.
        2. Na subseção Sudo Allow Commands, clique em Add para abrir a caixa de diálogo Add allow sudo commands into sudo rule "idm_user_reboot".
        3. Na caixa de diálogo Add allow sudo commands into sudo rule "idm_user_reboot", na coluna Available, marque a caixa de seleção /usr/sbin/reboot, e mova para a coluna Prospective.

        4. Clique em Add para retornar à página idm_sudo_reboot.

          Figura 36.2. Adicionando a regra do sudo IdM

          IdM sudo rule WebUI
    7. Clique em Save, no canto superior esquerdo.

A nova regra é ativada por padrão.

Etapas de verificação

Teste que a regra sudo que você estabeleceu no servidor IdM funciona em idmclient, verificando que idm_user pode agora reiniciar idmclient usando sudo. Note que a propagação das mudanças do servidor para o cliente pode levar alguns minutos.

  1. Acesse idmclient como idm_user.

  2. Reinicie a máquina usando sudo. Digite a senha para idm_user quando solicitado: 

    $ sudo /usr/sbin/reboot
[sudo] password for idm_user:

Se o sudo for configurado corretamente, a máquina é reinicializada.