Sudo

From A-Eskwiki
Jump to: navigation, search

Voor het toekennen van extra privileges wordt sudo gebruikt. De sudo policies worden in IPA bijgehouden.

Fedora 20

/etc/nsswitch.conf:

sudoers: sss

/etc/sssd/sssd.conf:

# configure SUDO and GSSAPI authentication
sudo_provider = ldap
ldap_sudo_search_base = ou=sudoers,dc=a-eskwadraat,dc=nl
ldap_sasl_mech = GSSAPI
ldap_sasl_authid = host/$HOSTNAME.a-eskwadraat.nl
ldap_sasl_realm = A-ESKWADRAAT.NL
krb5_server = _srv_

[sssd]
services = nss, pam, ssh, sudo

Vul op de plek $HOSTNAME de naam van de machine in.

RHEL 6.X

  • Voeg de volgende regel aan /etc/nsswitch.conf toe:
sudoers:  files ldap
  • Vervang /etc/sudo-ldap.conf met het volgende:
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=a-eskwadraat,dc=nl
bindpw sudopasswd

ssl start_tls
tls_cacertfile /etc/ipa/ca.crt
tls_checkpeer yes

bind_timelimit 5
timelimit 15

uri ldap://ipa01.a-eskwadraat.nl
sudoers_base ou=SUDOers,dc=a-eskwadraat,dc=nl
  • Voeg de volgende regel toe aan /etc/rc.d/rc.local:
nisdomainname a-eskwadraat.nl

Debugging

Mocht de standaardconfiguratie niet helpen, zet dan de volgende debug-opties aan:

  • In /etc/ldap.conf:
sudoers_debug: 1
  • Voeg het volgende toe aan /etc/sssd/sssd.conf
[domain/a-eskwadraat.nl]
debug_level = 6
...

RHEL 7.X

Configuratie van EL7-clients gaat volledig automagisch.