13.2.5. 为证书证书 Systemnbsp 设置 sudo 权限; 系统服务

为了简化管理和安全性,可以配置证书证书 Systemnbsp;System 和 Directory Server 进程,以便配置 PKI 管理员(而不是仅 root 用户)可以启动和停止服务。
设置子系统时的建议选项是使用 pkiadmin 系统组。(详情请参考 Red Hat Certificate System 9 规划、安装和部署指南。) 所有为 CertificateCertificate Systemnbsp 的操作系统用户; 然后,系统管理员会添加到该组中。如果存在 pkiadmin 系统组,则可以被授予 sudo 访问权限来执行某些任务。
  1. 编辑 /etc/sudoers 文件;在 Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux 7 中,可以使用 visudo 命令实现这一目的:
    # visudo
  2. 根据机器上安装的内容,为 Directory Server、管理服务器、PKI 管理工具和每个 PKI 子系统实例添加一行,为 pkiadmin 组授予 sudo 权限:
    # For Directory Server services
    %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target
    %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service
    
    # For PKI instance management
    %pkiadmin ALL = PASSWD: /usr/sbin/pkispawn *
    %pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy *
    
    # For PKI instance services
    %pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
    
重要
确保为每台证书证书系统nbsp;System、Directory Server 和 Administration Server 在机器上设置 sudo 权限 - 以及 仅适用于 机器上的那些实例。计算机上可能存在同一子系统类型的多个实例,或者没有子系统类型的实例。它取决于部署。