sudo-Regeln im Directory-Server

Root registriert

Zentral gespeicherte sudo-Regeln helfen dabei, den administrativen Aufwand für den Zugang zu diesen Regeln klein zu halten. Was aber, wenn als zentraler Verzeichnisdienst ein Active Directory zum Einsatz kommt? Der Open-Source-Tipp in diesem Monat zeigt, wie die zugehörige Konfiguration aussieht.
Sich wiederholende Aufgaben sind mühselig und fehleranfällig, wenn sie von Hand ausgeführt werden. Im August befasst sich IT-Administrator deshalb mit dem ... (mehr)

Es ist gute Praxis, dass Administratoren sich nicht direkt als root auf einem System anmelden, sondern einen eigenen Account verwenden. Stehen administrative Aufgaben an, so wird die Arbeit mittels sudo erledigt. Die dafür notwendigen sudo-Regeln legen daher fest, welcher Account Zugriff auf welche Kommandos hat. Bei Bedarf lässt sich der Zugriff weiter einschränken, sodass Befehle beispielsweise nur auf einem bestimmten Host ausgeführt werden dürfen oder nur zu bestimmten Zeiten zur Verfügung stehen. Standardregeln liegen dabei in der "sudoers"-Datei, eigene Regeln speichern Sie in individuellen Dateien unterhalb von "/etc/sudoers.d". Voraussetzung hierfür ist natürlich, dass die "sudoers"-Datei eine entsprechende "includedir"-Anweisung enthält.

Da das Management lokal vorgehaltener sudo-Dateien unter Umständen recht schnell sehr umständlich werden kann, besteht glücklicherweise auch die Möglichkeit, die sudo-Regeln in einem zentralen Verzeichnisdienst abzulegen. Clients greifen dann über LDAP auf diesen zurück und gelangen somit ebenfalls an die notwendigen Informationen. Damit diese auch off-line zur Verfügung stehen, bieten moderne Client-Anwendungen das Caching dieser Regeln auf dem Client-System an.

Das Beispiel in diesem Artikel verwendet als Client ein aktuelles Fedora-System mit dem System Security Services Daemon (SSSD). Als zentraler Verzeichnisdienst kommt ein Active Directory unter Windows Server 2012 zum Einsatz. Grundsätzlich funktionieren die Beispiele aber auch auf anderen Clients oder mit anderen Windows-Versionen.

Da das von Windows verwendete LDAP-Schema keine Objektklassen und somit auch keine Attribute für sudo bereitstellt, müssen Sie zunächst das Schema des Verzeichnisdienstes anpassen. Auf dem Fedora-System stellt das sudo-RPM-Paket eine entsprechende LDIF-Datei zur Verfügung, die Sie mit Hilfe des Windows-Tools ldifde in das Active Directory

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019