sudo-Regeln im Directory-Server

Es ist gute Praxis, dass Administratoren sich nicht direkt als root auf einem System anmelden, sondern einen eigenen Account verwenden. Stehen administrative Aufgaben an, so wird die Arbeit mittels sudo erledigt. Die dafür notwendigen sudo-Regeln legen daher fest, welcher Account Zugriff auf welche Kommandos hat. Bei Bedarf lässt sich der Zugriff weiter einschränken, sodass Befehle beispielsweise nur auf einem bestimmten Host ausgeführt werden dürfen oder nur zu bestimmten Zeiten zur Verfügung stehen. Standardregeln liegen dabei in der "sudoers"-Datei, eigene Regeln speichern Sie in individuellen Dateien unterhalb von "/etc/sudoers.d". Voraussetzung hierfür ist natürlich, dass die "sudoers"-Datei eine entsprechende "includedir"-Anweisung enthält.

Da das Management lokal vorgehaltener sudo-Dateien unter Umständen recht schnell sehr umständlich werden kann, besteht glücklicherweise auch die Möglichkeit, die sudo-Regeln in einem zentralen Verzeichnisdienst abzulegen. Clients greifen dann über LDAP auf diesen zurück und gelangen somit ebenfalls an die notwendigen Informationen. Damit diese auch off-line zur Verfügung stehen, bieten moderne Client-Anwendungen das Caching dieser Regeln auf dem Client-System an.

Das Beispiel in diesem Artikel verwendet als Client ein aktuelles Fedora-System mit dem System Security Services Daemon (SSSD). Als zentraler Verzeichnisdienst kommt ein Active Directory unter Windows Server 2012 zum Einsatz. Grundsätzlich funktionieren die Beispiele aber auch auf anderen Clients oder mit anderen Windows-Versionen.

Da das von Windows verwendete LDAP-Schema keine Objektklassen und somit auch keine Attribute für sudo bereitstellt, müssen Sie zunächst das Schema des Verzeichnisdienstes anpassen. Auf dem Fedora-System stellt das sudo-RPM-Paket eine entsprechende LDIF-Datei zur Verfügung, die Sie mit Hilfe des Windows-Tools ldifde in das Active Directory

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.