Sudo и LDAP

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Игорь Чубин

На этой странице описывается каким образом организовать информацию о разрешениях sudo в каталоге LDAP.

В нормальном случае, то есть, без использования каталога, описания всех разрешений хранятся в файле /etc/sudoers. Этот файл сам по себе предназначен для использования на множестве машин, однако, для того чтобы это было возможно, его нужно распространить на все эти машины, и что ещё хуже, при каждом изменении повторно синхронизировать. Синхронизацию можно организовать при помощи NFS, Samba, RSYNC или чего-нибудь похожего.

Намного проще будет, если разместить информацию файла sudoers в каталоге LDAP. Тогда все машины, настроенные на использование этого каталога, будут автоматически иметь доступ к актуальным данным.

Что нужно сделать, для того чтобы осуществить это:

1. Собрать sudo с поддержкой LDAP;
2. Расширить схему каталога;
3. Создать контейнер в каталоге, предназначенный для хранения настроек;
4. Экспортировать файл /etc/sudoers в каталог;
5. Изменить файлы /etc/nsswitch.conf.

[править] Дополнительная информация

• Sudo README.LDAP File (англ.)
• Sudo with LDAP (англ.)
• HOW TO: Configure LDAP for SUDO Support on Ubuntu Server 9.10 (Karmic Koala) (англ.)

[править] Материалы по LDAP на xgu.ru

• LDAP
• Схема LDAP
• LDAP-репликация и Samba
• Squid и LDAP
• Sudo и LDAP
• Jabber и LDAP
• Apache и LDAP
• RADIUS и LDAP
• Asterisk и LDAP
• man-страницы:
  • man:ldapadd — добавление записей
  • man:ldapdelete — удаление записей
  • man:ldapmodify — модификация записей
  • man:ldapmodrdn — переименование записей
  • man/ldapsearch — поиск записей

Серверы LDAP:

• OpenDS
• OpenLDAP