Я пытаюсь найти решение проблемы с sudo.
Мне нужно размещать разные файлы sudoers на разных серверах, в зависимости от пользователей, присутствующих на серверах. Но я хотел бы знать, могу ли я этого избежать и разместить везде один файл sudoers.
например:
некоторые серверы имеют несколько групп, заканчивающихся на "-dv-grp", а некоторые серверы имеют группу, заканчивающуюся на "-pa-grp"
Было бы так хорошо, если бы я мог поставить подстановочный знак на имя группы вот так:
%*-grp ALL=(ALL) NOPASSWD: /usr/bin/vi
но это не работает, даже если я установил User_Alias (Я также пробовал использовать простые и двойные кавычки) .... и я не могу поместить все эти группы в одну главную группу (по соображениям безопасности на моей инфра).
если это действительно невозможно, я создам другую группу, чтобы поместить их в эти разные группы, но мне нужно будет управлять разными версиями файла sudoers ... и я бы хотел избежать этого
Вы можете подтвердить, что это невозможно? любая идея?
Разве несколько строк ниже не помогут?
%g1-dv-grp server1=(ALL) NOPASSWD: some_commands
%g1-pa-grp server2=(ALL) NOPASSWD: some_commands
%g2-pa-grp server3=(ALL) NOPASSWD: some_commands
Yuu по-прежнему нужны строки для каждой комбинации сервер / группа (не так аккуратно, как подстановочные знаки), но это означает, что у вас может быть один файл sudoers на всех машинах.