使用FreeIPA进行集中式sudo – 如何指定所有命令?

我很难将自己的脑袋包裹在FreeIPA的模型周围. FreeIPA manual声明:

FreeIPA adds an extra control measure with sudo command groups, which
allow a group of commands to be defined and then applied to the sudo configuration as one.

但是他们的例子基本上讨论了创建一个sudo命令组并将特定的sudo命令(如vim和less)添加到“files”sudo命令组.

例如从命令行:

ipa sudocmdgroup-add --desc 'File editing commands' files

ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'

ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files

但是,如何在/ etc / sudoers中指定ALL?这可以是通配符(例如*)吗?

最佳答案
如果希望一组用户能够使用sudo执行任何命令,则无需创建命令组.您只需要一个允许所有命令的sudo规则,并且在安装FreeIPA时默认情况下应该为您创建一个命令.

# ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
  Rule name: All
  Enabled: TRUE
  Host category: all
  Command category: all
  RunAs User category: all
  User Groups: admins
----------------------------
Number of entries returned 1
----------------------------

(如果不存在此规则,请创建它.)

ipa sudorule-add --cmdcat=all All

只需将用户或组添加到此sudo规则,您希望能够使用任何命令进行sudo.

ipa sudorule-add-user --groups=admins All

如果您愿意,也可以从Web UI执行此操作.

转载注明原文:使用FreeIPA进行集中式sudo – 如何指定所有命令? - 代码日志