У меня есть установка OpenLDAP, которая также управляет Sudo. Каждый раз, когда я создаю роль sudoers, я должен перечислить команды, которые может выполнять эта роль sudoers. Это приводит к частому повторению.
Есть ли способ сгруппировать команды Linux в виде сетевой группы и расширить эту сетевую группу в поле SudoCommand роли LDAP sudoers? например: создайте сетевую группу (или что-то еще) под названием «view» с членами / bin / ls, / usr / bin / less, / usr / bin / tail и в поле SudoCommand просто введите + view.
Это было бы полезно, когда одни и те же команды должны быть предоставлены различным SudoRoles для разных каталогов / файлов?
Прямо сейчас этого нет в текущем определении sudoers.schema, и само программное обеспечение sudo-ldap, вероятно, не способно выполнять его поиск. Вы должны указать каждую команду в определении команды.
Но если у вас есть команды в общем каталоге, вы можете использовать какое-нибудь регулярное выражение для ссылки на него: sudoCommand = / usr / lib / nagios / plugins / *
Вот как я это делаю.