第 54 章 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限

系统管理员可以授予 sudo 访问权限，以允许非 root 用户执行通常为 root 用户保留的管理命令。因此，当用户需要执行通常为 root 用户保留的管理命令时，他们会在此命令前面使用 sudo。输入密码后，将像 root 用户一样执行 命令。要将 sudo 命令作为另一个用户或组（如数据库服务帐户）执行，您可以为 sudo 规则配置 RunAs 别名。

如果 Red Hat Enterprise Linux (RHEL) 8 主机注册为 Identity Management (IdM) 客户端，您可以指定 sudo 规则来定义哪些 IdM 用户可以在主机上执行哪些命令：

您可以使用命令行界面(CLI)和 IdM Web UI 为 IdM 客户端创建 中央 sudo 规则。

在 RHEL 8.4 及更高版本中，您还可以使用通用安全服务应用程序编程接口 (GSSAPI) 为 sudo 配置免密码身份验证，这是基于 UNIX 的操作系统访问和验证 Kerberos 服务的本地方式。您可以使用 pam_sss_gss.so 可插拔验证模块 (PAM) 通过 SSSD 服务调用 GSSAPI 身份验证，允许用户通过有效的 Kerberos 票据向 sudo 命令进行身份验证。