Difference between revisions of "Sudo"
From A-Eskwiki
(→RHEL 6.X) |
|||
Line 25: | Line 25: | ||
* Vervang <code>/etc/sudo-ldap.conf</code> met het volgende: | * Vervang <code>/etc/sudo-ldap.conf</code> met het volgende: | ||
<pre> | <pre> | ||
− | binddn uid=sudo,cn=sysaccounts,cn=etc,dc= | + | binddn uid=sudo,cn=sysaccounts,cn=etc,dc=a-eskwadraat,dc=nl |
bindpw sudopasswd | bindpw sudopasswd | ||
Revision as of 15:43, 29 May 2014
Voor het toekennen van extra privileges wordt sudo gebruikt. De sudo policies worden in IPA bijgehouden.
Fedora 20
/etc/nsswitch.conf:
sudoers: sss
/etc/sssd.conf:
# configure SUDO and GSSAPI authentication sudo_provider = ldap ldap_uri = ldap://vm-ipa.a-eskwadraat.nl ldap_sudo_search_base = ou=sudoers,dc=a-eskwadraat,dc=nl ldap_sasl_mech = GSSAPI ldap_sasl_authid = host/vm-extern.a-eskwadraat.nl ldap_sasl_realm = A-ESKWADRAAT.NL krb5_server = vm-ipa.a-eskwadraat.nl [sssd] services = nss, pam, ssh, sudo
RHEL 6.X
- Voeg de volgende regel aan
/etc/nsswitch.conf
toe:
sudoers: files ldap
- Vervang
/etc/sudo-ldap.conf
met het volgende:
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=a-eskwadraat,dc=nl bindpw sudopasswd ssl start_tls tls_cacertfile /etc/ipa/ca.crt tls_checkpeer yes bind_timelimit 5 timelimit 15 uri ldap://vm-ipa.a-eskwadraat.nl sudoers_base ou=SUDOers,dc=a-eskwadraat,dc=nl
- Voeg de volgende regel toe aan
/etc/rc.d/rc.local
:
nisdomainname a-eskwadraat.nl
Debugging
Mocht de standaardconfiguratie niet helpen, zet dan de volgende debug-opties aan:
- In
/etc/ldap.conf
:
sudoers_debug: 1
- Voeg het volgende toe aan
/etc/sssd/sssd.conf
[domain/a-eskwadraat.nl] debug_level = 6 ...