Я искал инструкции по добавлению sudo managment в openldap, но все они, которые я обнаружил, связаны с изменением ldap.conf. В более поздней версии slapd используется база данных на основе файлов каталогов, к которой нельзя прикасаться напрямую.
Есть ли где-нибудь руководство по настройке прав sudo в OpenLDAP 2.4.x в CentOS 7?
На самом деле существует: openldap-sudoers-schema.ldif
Основная документация по LDAP Sudoers
Есть два основных способа сделать это: создание ldapSUDOER.schema через файлы ldif или создание posix-групп, которым предоставляются привилегии sudo для каждого хоста. Вы можете смешивать и сопоставлять их, но выбор метода ldapSUDOER имеет наименьшие накладные расходы. Вам не придется настраивать отдельные хост-серверы, изменяя их файл / etc / sudoers
, и вместо этого вы можете управлять всем этим с вашего LDAP-сервера, что немного удобнее.
Это также более безопасно, если у вас много переключений, так как легко забыть изменения, которые вы сделали для каждого хоста. Подобные остатки со временем могут оставить небольшие пробелы в вашей безопасности.
Независимо от того, используете ли вы выделенную схему sudoers или идете по маршруту posix, вам нужно будет внести некоторые изменения в конфигурацию PAM и SSSD / NSCD в зависимости от того, как вы настроили вашу аутентификацию через LDAP.
RedHat также предоставляет руководство , которое должно быть почти идентично CentOS. На самом деле я использовал это руководство для моей собственной реализации OpenLDAP в Debian, и оно все еще было очень полезно для компонентов конфигурации sssd и pam, которые потребуются.
Я хочу посоветовать с вашей стороны проявлять осторожность при работе с конфигурациями PAM, поскольку любые изменения могут нарушить аутентификацию в системе. Убедитесь, что у вас постоянно открыт локальный сеанс на сервере, пока вы вносите изменения, и тщательно протестируйте аутентификацию перед закрытием сеансов. Также настоятельно рекомендуется сделать резервную копию системы перед началом работы, чтобы иметь запасной вариант, если он вам понадобится.
- Ура!