Я искал инструкции по добавлению sudo managment в openldap, но все они, которые я нашел, связаны с изменением ldap.conf. В более поздней версии slapd используется база данных на основе файлов каталогов, к которой нельзя прикасаться напрямую.
Есть ли где-нибудь руководство по настройке прав sudo в OpenLDAP 2.4.x на CentOS 7?
Собственно говоря, это: openldap-sudoers-schema.ldif
Основная документация по LDAP Sudoers
Есть два основных способа сделать это: либо создать ldapSUDOER.schema через файлы ldif, либо создать posixgroups, которым предоставляются привилегии sudo для каждого хоста. Вы можете смешивать и сопоставлять их, но выбор метода ldapSUDOER имеет наименьшие накладные расходы. Вам не придется настраивать отдельные хост-серверы, изменяя их /etc/sudoers файл, и вместо этого вы можете управлять всем этим с вашего LDAP-сервера, что немного удобнее.
Это также более безопасно, если у вас много переключений, так как легко забыть изменения, которые вы сделали для каждого хоста. Подобные остатки со временем могут оставить небольшие пробелы в вашей безопасности.
Независимо от того, используете ли вы выделенную схему sudoers или идете с маршрутом posix, вам необходимо внести некоторые изменения в конфигурацию PAM и SSSD / NSCD в зависимости от того, как вы настроили аутентификацию через LDAP.
RedHat также предоставляет руководство это должно быть почти идентично CentOS. На самом деле я использовал это руководство для своей собственной реализации OpenLDAP в Debian, и оно по-прежнему было очень полезно для необходимых компонентов конфигурации sssd и pam.
Я хочу посоветовать с вашей стороны проявлять осторожность при работе с конфигурациями PAM, поскольку любые изменения могут нарушить аутентификацию в системе. Убедитесь, что у вас постоянно открыт локальный сеанс на сервере, пока вы вносите изменения, и тщательно протестируйте аутентификацию перед закрытием сеансов. Также настоятельно рекомендуется сделать резервную копию системы перед началом работы, чтобы у вас был запасной вариант, если он вам понадобится.
- Ура!