Я использую debian и хочу, чтобы sudo использовал ldap вместо / etc / sudoers. У кого-нибудь есть опыт в этом?
В современном sudo есть возможность использовать ldap. На мой взгляд, это неуклюже и подвержено сбоям, но это только мой опыт. http://www.gratisoft.us/sudo/readme_ldap.html
Я определенно предпочитаю использовать сетевые группы для расширения локальных конфигураций sudo вместо того, чтобы полностью полагаться на ldap. Мое практическое правило: если необходимо запустить сервер, он должен быть локальным. Только неосновные учетные записи пользователей и т. Д. Входят в ldap / nis / whatnot.
Я не думаю, что это подвержено сбоям, поскольку у вас может быть локальный резервный файл sudoers, поэтому даже если ваш сервер LDAP не работает, вы все равно можете использовать на нем SUDO для его обслуживания, и поэтому администраторы могут восстановить соединение с сервером LDAP.
Это очень просто сделать, и вы предпочтете иметь один централизованный файл sudoers, а не несколько локальных sudoers, когда у вас есть что-то вроде более 100 серверов для управления.
Вдобавок посмотрите на это, выдержку с веб-сайта sudo:
Использование LDAP для sudoers имеет несколько преимуществ:
Sudo больше не нужно полностью читать sudoers. Когда используется LDAP, существует только два или три запроса LDAP на один вызов. Это делает его особенно быстрым и особенно удобным в средах LDAP.
Sudo больше не завершает работу, если в sudoers есть опечатка. Невозможно загрузить данные LDAP на сервер, который не соответствует схеме sudoers, поэтому правильный синтаксис гарантирован. По-прежнему возможны опечатки в имени пользователя или имени хоста, но это не помешает запуску sudo.
Можно указать параметры для каждой записи, которые отменяют глобальные параметры по умолчанию. / etc / sudoers поддерживает только параметры по умолчанию и ограниченные параметры, связанные с user / host / commands / aliases. Синтаксис сложен и может быть трудным для понимания пользователями. Размещение параметров прямо в записи более естественно.
Программа visudo больше не нужна. visudo обеспечивает блокировку и проверку синтаксиса файла / etc / sudoers. Поскольку обновления LDAP являются атомарными, блокировка больше не требуется. Поскольку синтаксис проверяется при вставке данных в LDAP, нет необходимости в специализированном инструменте для проверки синтаксиса.
Мне удалось скомпилировать sudo с опцией --with-ldap что позволяет ему использовать каталог LDAP. Источник sudo поставляется со схемой, которая может быть загружена в LDAP и позволяет использовать каталог вместо / etc / sudoers
Я полагаю, вы хотите сказать, что sudo следует использовать ldap;)
Самый простой способ сделать это - предоставить sudo группе через / etc / sudoers, а затем контролировать членство в этой группе через ldap.
Мы попытались поместить sudoers в ldap, но обнаружили, что самый простой способ управления sudo (и элементами управления доступом) - это объединить членство в группе ldap с централизованным инструментом управления конфигурацией, который может отправлять файлы acl и sudoers на сервер или группы серверов.
Мы используем pam_access для управления доступом к серверам и puppet для распространения файлов и обеспечения контроля доступа, но есть и другие инструменты управления конфигурацией, такие как cfengine, которые также будут работать.