Difference between revisions of "Sudo"
From A-Eskwiki
(→RHEL 6.3) |
|||
| (13 intermediate revisions by 3 users not shown) | |||
| Line 2: | Line 2: | ||
Voor het toekennen van extra privileges wordt sudo gebruikt. De sudo policies worden in [[IPA]] bijgehouden. | Voor het toekennen van extra privileges wordt sudo gebruikt. De sudo policies worden in [[IPA]] bijgehouden. | ||
| − | == | + | ===Fedora 20=== |
| − | + | /etc/nsswitch.conf: | |
| + | sudoers: sss | ||
| + | |||
| + | /etc/sssd/sssd.conf: | ||
| + | # configure SUDO and GSSAPI authentication | ||
| + | sudo_provider = ldap | ||
| + | ldap_sudo_search_base = ou=sudoers,dc=a-eskwadraat,dc=nl | ||
| + | ldap_sasl_mech = GSSAPI | ||
| + | ldap_sasl_authid = host/$HOSTNAME.a-eskwadraat.nl | ||
| + | ldap_sasl_realm = A-ESKWADRAAT.NL | ||
| + | krb5_server = _srv_ | ||
| + | |||
| + | [sssd] | ||
| + | services = nss, pam, ssh, sudo | ||
| + | |||
| + | Vul op de plek $HOSTNAME de naam van de machine in. | ||
===RHEL 6.X=== | ===RHEL 6.X=== | ||
| Line 10: | Line 25: | ||
* Vervang <code>/etc/sudo-ldap.conf</code> met het volgende: | * Vervang <code>/etc/sudo-ldap.conf</code> met het volgende: | ||
<pre> | <pre> | ||
| − | binddn uid=sudo,cn=sysaccounts,cn=etc,dc= | + | binddn uid=sudo,cn=sysaccounts,cn=etc,dc=a-eskwadraat,dc=nl |
bindpw sudopasswd | bindpw sudopasswd | ||
| Line 20: | Line 35: | ||
timelimit 15 | timelimit 15 | ||
| − | uri ldap:// | + | uri ldap://ipa01.a-eskwadraat.nl |
| − | sudoers_base ou=SUDOers,dc= | + | sudoers_base ou=SUDOers,dc=a-eskwadraat,dc=nl |
</pre> | </pre> | ||
* Voeg de volgende regel toe aan <code>/etc/rc.d/rc.local</code>: | * Voeg de volgende regel toe aan <code>/etc/rc.d/rc.local</code>: | ||
| − | nisdomainname | + | nisdomainname a-eskwadraat.nl |
====Debugging==== | ====Debugging==== | ||
| Line 32: | Line 47: | ||
* Voeg het volgende toe aan <code>/etc/sssd/sssd.conf</code> | * Voeg het volgende toe aan <code>/etc/sssd/sssd.conf</code> | ||
<pre> | <pre> | ||
| − | [domain/ | + | [domain/a-eskwadraat.nl] |
debug_level = 6 | debug_level = 6 | ||
... | ... | ||
</pre> | </pre> | ||
| + | |||
| + | === RHEL 7.X === | ||
| + | |||
| + | Configuratie van EL7-clients gaat volledig automagisch. | ||
Latest revision as of 17:19, 14 January 2016
Voor het toekennen van extra privileges wordt sudo gebruikt. De sudo policies worden in IPA bijgehouden.
Contents
Fedora 20
/etc/nsswitch.conf:
sudoers: sss
/etc/sssd/sssd.conf:
# configure SUDO and GSSAPI authentication sudo_provider = ldap ldap_sudo_search_base = ou=sudoers,dc=a-eskwadraat,dc=nl ldap_sasl_mech = GSSAPI ldap_sasl_authid = host/$HOSTNAME.a-eskwadraat.nl ldap_sasl_realm = A-ESKWADRAAT.NL krb5_server = _srv_ [sssd] services = nss, pam, ssh, sudo
Vul op de plek $HOSTNAME de naam van de machine in.
RHEL 6.X
- Voeg de volgende regel aan
/etc/nsswitch.conftoe:
sudoers: files ldap
- Vervang
/etc/sudo-ldap.confmet het volgende:
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=a-eskwadraat,dc=nl bindpw sudopasswd ssl start_tls tls_cacertfile /etc/ipa/ca.crt tls_checkpeer yes bind_timelimit 5 timelimit 15 uri ldap://ipa01.a-eskwadraat.nl sudoers_base ou=SUDOers,dc=a-eskwadraat,dc=nl
- Voeg de volgende regel toe aan
/etc/rc.d/rc.local:
nisdomainname a-eskwadraat.nl
Debugging
Mocht de standaardconfiguratie niet helpen, zet dan de volgende debug-opties aan:
- In
/etc/ldap.conf:
sudoers_debug: 1
- Voeg het volgende toe aan
/etc/sssd/sssd.conf
[domain/a-eskwadraat.nl] debug_level = 6 ...
RHEL 7.X
Configuratie van EL7-clients gaat volledig automagisch.
