我很难把头放在 FreeIPA 的模型上。FreeIPA手册指出:
FreeIPA 为 sudo 命令组添加了一个额外的控制措施,它允许定义一组命令,然后将其作为一个应用到 sudo 配置中。
但他们的例子基本上谈创建sudo命令组,并添加特定的sudo的命令,就像vim和less一个“文件” sudo命令组。
例如从命令行:
ipa sudocmdgroup-add --desc 'File editing commands' files
ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'
ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files
但是您如何ALL像在 /etc/sudoers 中那样指定?这可以通配符(例如*)吗?
Mic*_*ton 12
如果您希望一组用户能够使用sudo. 你只需要一个允许所有命令的 sudo 规则,当你安装 FreeIPA 时,默认情况下应该已经为你创建了一个规则。
# ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
Rule name: All
Enabled: TRUE
Host category: all
Command category: all
RunAs User category: all
User Groups: admins
----------------------------
Number of entries returned 1
----------------------------
(如果这样的规则不存在,请创建它。)
ipa sudorule-add --cmdcat=all All
只需将您希望能够sudo使用任何命令的用户或组添加到此 sudo 规则中。
ipa sudorule-add-user --groups=admins All
如果您愿意,也可以从 Web UI 执行此操作。
| 归档时间: |
|
| 查看次数: |
23873 次 |
| 最近记录: |