Включение администрируемых LDAP прав sudo в OpenLDAP 2.4.x?

На самом деле существует: openldap-sudoers-schema.ldif

Основная документация по LDAP Sudoers

Есть два основных способа сделать это: создание ldapSUDOER.schema через файлы ldif или создание posix-групп, которым предоставляются привилегии sudo для каждого хоста. Вы можете смешивать и сопоставлять их, но выбор метода ldapSUDOER имеет наименьшие накладные расходы. Вам не придется настраивать отдельные хост-серверы, изменяя их файл / etc / sudoers , и вместо этого вы можете управлять всем этим с вашего LDAP-сервера, что немного удобнее.

Это также более безопасно, если у вас много переключений, так как легко забыть изменения, которые вы сделали для каждого хоста. Подобные остатки со временем могут оставить небольшие пробелы в вашей безопасности.

Независимо от того, используете ли вы выделенную схему sudoers или идете по маршруту posix, вам нужно будет внести некоторые изменения в конфигурацию PAM и SSSD / NSCD в зависимости от того, как вы настроили вашу аутентификацию через LDAP.

RedHat также предоставляет руководство , которое должно быть почти идентично CentOS. На самом деле я использовал это руководство для моей собственной реализации OpenLDAP в Debian, и оно все еще было очень полезно для компонентов конфигурации sssd и pam, которые потребуются.

Я хочу посоветовать с вашей стороны проявлять осторожность при работе с конфигурациями PAM, поскольку любые изменения могут нарушить аутентификацию в системе. Убедитесь, что у вас постоянно открыт локальный сеанс на сервере, пока вы вносите изменения, и тщательно протестируйте аутентификацию перед закрытием сеансов. Также настоятельно рекомендуется сделать резервную копию системы перед началом работы, чтобы иметь запасной вариант, если он вам понадобится.

- Ура!