Red Hat Training

A Red Hat training course is available for RHEL 8

44.3. 使用 IdM Web UI 向 IdM 客户端上的 IdM 用户授予 sudo 访问权限

在 Identity Management(IdM)中,您可以将特定命令的 sudo 访问权限授予特定 IdM 主机上的 IdM 用户帐户。首先,添加 sudo 命令,然后为一个或多个命令创建 sudo 规则。

完成此步骤以创建 idm_user_reboot sudo 规则,为 idm_user 帐户授予在 idmclient 计算机上运行 /usr/sbin/reboot 命令的权限。

先决条件

  • 以 IdM 管理员身份登录。
  • 您已在 IdM 中创建 了 idm_user 的用户帐户,并通过为用户创建密码来解锁帐户。有关使用命令行界面添加新 IdM 用户的详情,请参阅使用命令行添加用户。
  • idm client 上尚未创建本地 idm _user 帐户。idm_user 用户未列在本地 /etc/passwd 文件中。

流程

  1. sudo 命令的 IdM 数据库中添加 /usr/sbin/reboot 命令:

    1. 导航到 PolicySudoSudo Commands
    2. 单击右上角的 Add,以打开 Add sudo 命令对话框
    3. 输入您希望用户能够使用 sudo 执行的命令:/usr/sbin/reboot

      图 44.1. 添加 IdM sudo 命令

      标有"Add sudo 命令"的弹出窗口屏幕截图。 有一个标记为"Sudo 命令"的必填字段,其内容为 "/usr/sbin/reboot"。"Description"字段为空。窗口的右下角有四个按钮:"Add" - "Add 和 Add Another" - "Add and Edit" - "Cancel"。
    4. 添加
  2. 使用新的 sudo 命令条目创建一个 sudo 规则来允许 idm_user 重启 idmclient 机器:

    1. 导航到 PolicySudoSudo rules
    2. 单击右上角的 Add,以打开 Add sudo 规则对话框
    3. 输入 sudo 规则的名称: idm_user_reboot
    4. Add and Edit
    5. 指定用户:

      1. Who 部分中,选中指定的用户和组单选按钮
      2. 在用户类别中,单击该规则应用到子部分,单击 Add user to sudo rule "idm_user_reboot" 对话框。
      3. Add users to sudo rule "idm_user_reboot" 对话框中,选中 idm_user 复选框,并将它移到 Prospective 列。
      4. 添加
    6. 指定主机:

      1. Access this host 部分中,选中指定的 Hosts and Groups 单选按钮。
      2. Host 类别中,此规则应用到子 部分,单击 Add hosts to sudo rule "idm_user_reboot" 对话框。
      3. Available 列中的 Add hosts to sudo rule "idm_user_reboot" 对话框中,选中 idmclient.idm.example.com 复选框,并将它移到 Prospective 列。
      4. 添加
      1. 指定命令:

        1. 在命令类别中,该规则应用到 Run Commands 部分的子部分 ,检查指定的命令和组单选按钮
        2. Sudo Allow Commands 子章节中,单击 Add 以打开 Add allow sudo 命令进入 sudo 规则"idm_user_reboot"对话框
        3. Add allow sudo 命令的 sudo 规则"idm_user_reboot" 对话框中 选中 /usr/sbin/reboot 复选框,并将它移到 Prospect ive 列。
        4. 单击 Add 以返回到 idm_sudo_reboot 页面。

          图 44.2. 添加 IdM sudo 规则

          添加的 sudo 规则概述的屏幕截图。有一个"Who"部分,其中包含适用于该规则的用户表。有一个"访问此主机"部分,其中包含该规则应用到的主机表。有一个"运行命令"部分,其中包含与规则相关的命令表。
    7. 单击左上角的 Save

新规则默认为启用。

验证步骤

通过验证 idm _user 现在可以使用 sudo 重新启动 idmclient,测试您在 IdM 服务器上设置的 sudo 规则是否在 idmclient 上工作。请注意,将更改从服务器传播到客户端可能需要几分钟时间。

  1. idm_user 用户身份登录 idmclient
  2. 使用 sudo 重新启动计算机。在提示时输入 idm_user 的密码:

    $ sudo /usr/sbin/reboot
    [sudo] password for idm_user:

如果正确配置了 sudo 规则,机器将重启。