http://pig.made-it.com/ldap-sudoers.html

https://www.lisenet.com/2015/convert-openldap-schema-to-ldif/

http://qiita.com/T_Tsan/items/5ea2563450ed2d2ee20f

http://edo.blog.jp/archives/1538669.html

服务端

yum -y install sudo

sudo-ldap方案

cp /usr/share/doc/sudo-1.8.6p7/schema.OpenLDAP /etc/openldap/schema/sudo.schema

生成sudo.ldif

echo 'include     /etc/openldap/schema/sudo.schema' > /tmp/sudo.conf

mkdir /tmp/sudo

slaptest -f /tmp/sudo.conf -F /tmp/sudo


# vim /tmp/sudo/cn=config/cn=schema/cn={0}sudo.ldif

替换

dn: cn={0}sudo

objectClass: olcSchemaConfig

cn: {0}sudo


dn: cn=sudo,cn=schema,cn=config

objectClass: olcSchemaConfig

cn: sudo

删除

structuralObjectClass: olcSchemaConfig

entryUUID: bd975dc0-1654-1036-9c97-c37d6a498779

creatorsName: cn=config

createTimestamp: 20160924034303Z

entryCSN: 20160924034303.121340Z#000000#000#000000

modifiersName: cn=config

modifyTimestamp: 20160924034303Z


cp /tmp/sudo/cn=config/cn=schema/cn={0}sudo.ldif /etc/openldap/schema/sudo.ldif

sudo功能生效

vim /etc/openldap/slapd.conf

添加

include     /etc/openldap/schema/sudo.schema


rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

chown -R ldap:ldap /etc/openldap/slapd.d

systemctl restart slapd

sudoer权限

sudoer.ldif

dn: ou=sudoer,dc=suntv,dc=tv

ou: sudoer

objectClass: top

objectClass: organizationalUnit

dn: cn=default,ou=sudoer,dc=suntv,dc=tv

objectClass: sudoRole

cn: defaults

sudoOption: requiretty

sudoOption: !visiblepw

sudoOption: always_set_home

sudoOption: env_reset

sudoOption: env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"

sudoOption: env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"

sudoOption: env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"

sudoOption: env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"

sudoOption: env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"

sudoOption: secure_path = /sbin:/bin:/usr/sbin:/usr/bin

sudoOption: logfile = /var/log/sudo

sudoOption: %g01, %g02 !requiretty

dn: cn=%g01,ou=sudoer,dc=suntv,dc=tv

objectClass: sudoRole

cn: %g01

sudoUser: %g01

sudoHost: ALL

sudoRunAsUser: ALL

sudoOption: !authenticate

sudoCommand: ALL

sudoCommand: !/bin/su*

sudoCommand: !/usr/bin/vim /etc/sudoers*

sudoCommand: !/bin/vi /etc/sudoers*

sudoCommand: !/usr/sbin/visudo

sudoCommand: !/usr/sbin/adduser*

sudoCommand: !/usr/sbin/useradd*

sudoCommand: !/usr/sbin/userdel*

sudoCommand: !/usr/sbin/groupadd*

sudoCommand: !/usr/sbin/groupdel*

sudoCommand: !/bin/sh

sudoCommand: !/bin/bash

sudoCommand: !/usr/bin/login

# g01组用户禁用su,禁用变更sudo权限,禁用用户组的操作

dn: cn=%g02,ou=sudoer,dc=suntv,dc=tv

objectClass: sudoRole

cn: %g02

sudoUser: %g02

sudoHost: ALL

sudoRunAsUser: ALL

sudoOption: !authenticate

sudoCommand: ALL

sudoCommand: !/bin/su*

# g02组用户禁用'sudo su',

#


ldapdelete -x -W -H ldaps:/// -D cn=manager,dc=suntv,dc=tv ou=sudoer,dc=suntv,dc=tv -r

ldapadd -H ldaps:/// -W -x -D cn=manager,dc=suntv,dc=tv -f sudoer.ldif

客户端

/etc/sssd/sssd.conf

[sssd]

services = nss, pam, sudo, ssh # add

config_file_version = 2

domains = ldap

[domain/ldap]

debug_level = 9

cache_credentials = True

enumerate = false

id_provider = ldap

auth_provider = ldap

chpass_provider = ldap

sudo_provider = # add

ldap_uri = ldaps://master.local,ldaps://slave.local

ldap_search_base = dc=suntv,dc=tv

ldap_sudo_search_base = ou=Sudoer,dc=suntv,dc=tv # add

ldap_tls_cacertdir = /etc/openldap/cacerts

ldap_tls_cacert = /etc/openldap/cacerts/ca.crt

ldap_tls_reqcert = never

ldap_id_use_start_tls = false

entry_cache_timeout = 600

ldap_network_timeout = 2

[nss]

homedir_substring = /home

entry_negative_timeout        = 20

entry_cache_nowait_percentage = 50

filter_users = root

filter_groups = root

[pam]

[sudo]

[autofs]

[ssh]

[pac]

/etc/nsswitch.conf

sudoers: file sss

禁用su

vim /etc/pam.d/su

去除以下行的注释

auth            required        pam_wheel.so use_uid

测试

u01

id

uid=1001(u01) gid=2001(g01) groups=2001(g01)


sudo -l

Matching Defaults entries for u01 on this host:

    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",

    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS

    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User u01 may run the following commands on this host:

    (ALL) NOPASSWD: ALL, !/bin/su*, !/usr/bin/vim /etc/sudoers*, !/bin/vi /etc/sudoers*, !/usr/sbin/visudo, !/usr/sbin/adduser*, !/usr/sbin/useradd*, !/usr/sbin/userdel*, !/usr/sbin/groupadd*,

    !/usr/sbin/groupdel*, !/bin/sh, !/bin/bash, !/usr/bin/login

u04

id

uid=1004(u04) gid=2002(g02) groups=2002(g02)


sudo -l

Matching Defaults entries for u04 on this host:

    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",

    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS

    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User u04 may run the following commands on this host:

    (ALL) NOPASSWD: ALL, !/bin/su*

openldap权限sudo的更多相关文章

  1. OpenLDAP权限配置

    安装好了openldap之后,就是对它进行配置了,其中一项就是设置访问控制,限制普通用户只能修改/访问他们能修改/访问的项.这就是ACL需要做的事情. 设置方法 1.可以将 include行放在/et ...

  2. Debian普通用户获取root权限|sudo的安装与配置

    Debian系统的普通用户需要安装软件时,往往会收到“Permission denied”的提示,这时候需要root权限.那么如何在不登陆超级管理员账户的前提下拥有root权限呢?对于大多数Linux ...

  3. 为linux普通用户添加超级用户权限sudo

    问题:假设用户名为:ali如果用户名没有超级用户权限,当输入 sudo + 命令 时, 系统提示: ali is not in the sudoers file.  This incident wil ...

  4. Linux普通用户如何获取root权限 sudo -i

    从下图中可以知道,xiaolai这个用户连接到服务器后它没有权限,更新代码都更新不了 那么我们作为一个普通用户要获取管理员权限,怎么办呢? 输入 sudo -i 然后再输入普通用户的这个密码 获取成功 ...

  5. linux普通用户权限设置为超级用户权限方法、sudo不用登陆密码

    以用户zato为例 普通用户权限设置为超级用户权限 进入有超级用户权限的账号 添加文件可写(w)权限 sudo chmod u+x /etc/sudoers 编辑/etc/sudoers文件 添加语句 ...

  6. Linux学习之文件属性chattr权限与sudo权限(十二)

    Linux学习之文件属性chattr权限与sudo权限 文件属性chattr Linux文件的隐藏属性在保护系统文件的安全性上非常重要,是防止误操作的,对root用户也同样有效.chattr命令只能在 ...

  7. 为什么sudo执行命令还是会提示权限不够

    安装openstack 的过程中需要执行以下命令,虽然使用了sudo,但是依然提示权限不够 $ sudo echo "deb http://ubuntu-cloud.archive.cano ...

  8. sudo控制用户对系统命令的使用权限

    sudo控制用户对系统命令的使用权限 sudo相关概念 普通用户涉及到超级权限的运用,管理员如果想让该普通用户通过su来切换到root获得超级权限,就必须把root权限密码告诉用户.但是如果普通用户有 ...

  9. 05-sudo权限配置

    阅读目录 基础环境准备 服务端配置 客户端配置 客户端验证 附:sudo常见属性介绍 常见错误分析 1. 基础环境准备 本文接文章openldap服务端安装配置 2. 服务端配置 导入sudo sch ...

随机推荐

  1. UVa 1626 Brackets sequence (动态规划)

    题意:用最少的括号将给定的字符串匹配,输出最优解.可能有空行. 思路:dp. dp[i][j]表示将区间i,j之间的字符串匹配需要的最少括号数,那么 如果区间左边是(或[,表示可以和右边的字符串匹配, ...

  2. MySQL字符集乱码

    学数据库,最让人丧气的就是字符集的问题了,一旦出问题,就会有砸电脑的冲动,特别是在修改很多次字符集后依然不成功的时候! 我用的数据库软件是MySQL 5.1.28.最初出问题的时候,是这样的: 情景一 ...

  3. Linux的find命令

    使用find命令,可以指定问及那的名称.类别.时间.大小以及权限等,来查找出你想要的文件 语法: fiind  [路径] [参数] [-print] 参数详解: 1.-name  按照文件名查找文件 ...

  4. C# 代码示例_结构/数组/枚举...

    using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.T ...

  5. C#与XML Schema的问题

    http://bbs.csdn.net/topics/50493564 weileily: 用XmlSchema.Read方法读取了一个xsd文件,请问如何遍历检索器中的ComplexType与Sim ...

  6. jquery给div,Span, a ,button, radio 赋值取值

    jquery给div的innerHTML赋值 $("#id").html()="test"; //或者 $("#id").html(&quo ...

  7. Python 基礎 - while流程判斷

    接續上次的代碼,是不是只有執行一次才就結束,想要再繼續猜,就要在執行一次,是不是有點挺麻煩的? 所以這次我們就來再多做一點點功能進去,讓代碼可以多次循環地執行代碼,Go.... 首先,我們先來了解一下 ...

  8. IE中Keep-Alive机制引起的错误

    我们知道Http协议是基于TCP/IP连接的,也就是说客户端浏览器向服务器发出一个Http请求并得到响应是要建立一条TCP/IP连接的,但是如果每发出一个Http请求客户端就要向服务器端建立一条TCP ...

  9. CentOS 7 做服务器 CentOS 5 做客服机 搭建Apache+php+mysql网页

    1:在CentOS 7搭建yum源和php.Apache 安装    yum install php-mysql -y 文件 重启httpd服务:systemctl restart httpd.ser ...

  10. 【转】linux 编译安装nginx,配置自启动脚本

    linux 编译安装nginx,配置自启动脚本 本文章来给各位同学介绍一篇关于linux 编译安装nginx,配置自启动脚本教程,希望有需要了解的朋友可一起来学习学习哦. 在公司的suse服务器装ng ...