阅读目录

  1. 基础环境准备
  2. 服务端配置
  3. 客户端配置
  4. 客户端验证
  5. 附:sudo常见属性介绍
  6. 常见错误分析

1. 基础环境准备

本文接文章openldap服务端安装配置

2. 服务端配置

  1. 导入sudo schema

    openldap默认schema中不包含sudo所需要的数据结构,这时需要我们自行导入sudo schema文件。操作如下

    [root@mldap01 tmp]# rpm -ql sudo-1.8.6p3-27.el6.x86_64 | grep schema
    
/usr/share/doc/sudo-1.8.6p3/schema.ActiveDirectory
    
/usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP
    
/usr/share/doc/sudo-1.8.6p3/schema.iPlanet
    
[root@mldap01 tmp]# cp -a /usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP /etc/openldap/schema/sudo.schema
    


    [root@mldap01 slapd.d]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
    
config file testing succeeded
    
[root@mldap01 slapd.d]# chown ldap.ldap -R /etc/openldap/slapd.d
    
[root@mldap01 slapd.d]# /etc/init.d/slapd restart
    
Stopping slapd:                                            [  OK  ]
    
Starting slapd:                                            [  OK  ]

  2. 验证openldap是否支持sudo

    查看OpenLDAP数据库目录中schema所产生的文件

    查看sudo schema所支持的对象类型

    [root@mldap01 ~]# ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn={12}sudo,cn=schema,cn=config | grep NAME | awk '{print $4,$5}' | sort
    
SASL/EXTERNAL authentication started
    
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
    
SASL SSF: 0
    
NAME 'sudoCommand'
    
NAME 'sudoHost'
    
NAME 'sudoNotAfter'
    
NAME 'sudoNotBefore'
    
NAME 'sudoOption'
    
NAME 'sudoOrder'
    
NAME 'sudoRole'
    
NAME 'sudoRunAs'
    
NAME 'sudoRunAsGroup'
    
NAME 'sudoRunAsUser'
    
NAME 'sudoUser'

  3. 定义sudo规则条目及sudo组

    sudoers的配置信息存放在ou=suders的子树中,默认OpenLDAP用户并没有指定sudo规则,openldap首先在目录树子树中寻找条目cn=defaults, 如果找到,那么所有的sudoOption属性都会被解析为全局默认值, 这类似于系统sudo(/etc/sudoers)文件中Defaults语句。

    当用户到OpenLDAP服务端中查询一个sudo用户权限时一般有两到三次查询。第一次查询解析全局配置,第二次查询匹配用户名或者用户所在的组(特殊标签ALL也在此次查询中匹配),如果没有找到相关匹配项,则发出第三次查询,此次查询返回所有包含用户组的条目并检查该用户是否存在于这些组中。接下来创建openldap的sudoers子树。具体命令如下。

    [root@mldap01 ~]# cat << EOF | ldapadd -x -D "cn=Manager,dc=gdy,dc=com" -W
    
> dn: ou=sudoers,dc=gdy,dc=com
    
> objectClass: organizationalUnit
    
> objectClass: top
    
> ou: sudoers
    
>
    
> dn: cn=default,ou=sudoers,dc=gdy,dc=com
    
> objectClass: sudoRole
    
> cn: default
    
> description: Default sudoOption's go here
    
> sudoOption: requiretty
    
> sudoOption: !visiblepw
    
> sudoOption: always_set_home
    
> sudoOption: env_reset
    
> sudoOption: env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
    
> sudoOption: env_keep+="MALL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
    
> sudoOption: env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
    
> sudoOption: env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHOME"
    
> sudoOption: env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
    
> sudoOption: secure_path=/sbin:/bin:/usr/sbin:/usr/bin
    
>
    
> dn: cn=%dba,ou=sudoers,dc=gdy,dc=com
    
> objectClass: sudoRole
    
> cn: %dba
    
> sudoUser: %dba
    
> sudoRunAsUser: oracle
    
> sudoRunAsUser: grid
    
> sudoOption: !authenticate
    
> sudoCommand: /bin/bash
    
>
    
> dn: cn=%app,ou=sudoers,dc=gdy,dc=com
    
> objectClass: sudoRole
    
> cn: %app
    
> sudoUser: %app
    
> sudoHost: ALL
    
> sudoRunAsUser: appman
    
> sudoOption: !authenticate
    
> sudoCommand: /bin/bash
    
>
    
> dn: cn=%admin,ou=sudoers,dc=gdy,dc=com
    
> objectClass: sudoRole
    
> cn: %admin
    
> sudoUser: %admin
    
> sudoHost: ALL
    
> sudoOption: authenticate
    
> sudoCommand: /bin/rm
    
> sudoCommand: /bin/rmdir
    
> sudoCommand: /bin/chmod
    
> sudoCommand: /bin/chown
    
> sudoCommand: /bin/dd
    
> sudoCommand: /bin/mv
    
> sudoCommand: /bin/cp
    
> sudoCommand: /sbin/fsck*
    
> sudoCommand: /sbin/*remove
    
> sudoCommand: /usr/bin/chattr
    
> sudoCommand: /sbin/mkfs*
    
> sudoCommand: !/usr/bin/passwd
    
> sudoOrder: 0
    
>
    
> dn: cn=%limit,ou=sudoers,dc=gdy,dc=com
    
> objectClass: top
    
> objectClass: sudoRole
    
> cn: %limit
    
> sudoCommand: /usr/bin/chattr
    
> sudoHost: limit.gdy.com
    
> sudoOption: !authenticate
    
> sudoRunAsUser: ALL
    
> sudoUser: %limit
    
> EOF
    
Enter LDAP Password:
    
adding new entry "ou=sudoers,dc=gdy,dc=com"

adding new entry "cn=default,ou=sudoers,dc=gdy,dc=com"

adding new entry "cn=%dba,ou=sudoers,dc=gdy,dc=com"

adding new entry "cn=%app,ou=sudoers,dc=gdy,dc=com"

adding new entry "cn=%admin,ou=sudoers,dc=gdy,dc=com"

adding new entry "cn=%limit,ou=sudoers,dc=gdy,dc=com"

    以上操作中,读者不难发现app组可以通过sudo切换到系统appman用户下,而且也不需要输入验证密码,同理admin组里面的用户只能通过sudo执行允许的命令,其他越权命令不允许执行。dba组里面的用户可以通过sudo命令切换到系统oracle和grid用户下,且不需要输入验证密码。limit组里面的用户只允许在limit.gdy.com机器上通过sudo执行一条命令,且不需要提供验证密码,其他任何机器都不能使用sudo命令执行命令。manager组里面的用户可以在任何主机上执行sudo命令,没有任何限制,如果要求OpenLDAP用户提示输入密码,只需要将!authenticate中的感叹号去掉即可。

  4. 添加OpenLDAP用户到app组和manager组中

    [root@mldap01 ~]# cat << EOF | ldapadd -D "cn=Manager,dc=gdy,dc=com" -c -x -W
    
dn: cn=app,ou=Group,dc=gdy,dc=com
    
objectClass: posixGroup
    
cn: app
    
gidNumber: 10005

dn: cn=manager,ou=Group,dc=gdy,dc=com
    
objectClass: posixGroup
    
cn: manager
    
gidNumber: 10006

dn: uid=jboss,ou=People,dc=gdy,dc=com
    
objectClass: account
    
objectClass: posixAccount
    
objectClass: shadowAccount
    
cn: jboss
    
uid: jboss
    
uidNumber: 20006
    
gidNumber: 10005
    
userPassword: {CRYPT}$6$eRYFmeDr$siXSlXkO8OEhzHsLvlslFJZpmLnW1ajWU3wG3b4DVAdP6jYJDpUwwJW2juEir3wbpjU6t2h7sSWfRARb2xJ.G1
    
homeDirectory: /home/jboss
    
loginShell: /bin/bash

dn: uid=manager01,ou=People,dc=gdy,dc=com
    
objectClass: account
    
objectClass: posixAccount
    
objectClass: shadowAccount
    
cn: manager01
    
uid: manager01
    
uidNumber: 20007
    
gidNumber: 10006
    
userPassword: {CRYPT}$6$yTg3xJfA$VpThv3kvPG1uFw2.n/VgTnk8W05PED9CdEq.RXbz7SdjGd30z51lyuiBUFfd4F8HGQvWV3pWlplqATQh90fpL.
    
homeDirectory: /home/manager01
    
loginShell: /bin/bash
    
EOF
    
Enter LDAP Password:
    
adding new entry "cn=app,ou=Group,dc=gdy,dc=com"

adding new entry "cn=manager,ou=Group,dc=gdy,dc=com"

adding new entry "uid=jboss,ou=People,dc=gdy,dc=com"

adding new entry "uid=manager01,ou=People,dc=gdy,dc=com"

  5. 通过ldapsearch指令查看jboss用户及app组相关信息

    [root@mldap01 ~]# ldapsearch -x -LLL uid=jboss
    
dn: uid=jboss,ou=people,dc=gdy,dc=com
    
objectClass: account
    
objectClass: posixAccount
    
objectClass: shadowAccount
    
cn: jboss
    
uid: jboss
    
uidNumber: 20006
    
gidNumber: 10005
    
homeDirectory: /home/jboss
    
loginShell: /bin/bash

[root@mldap01 ~]# ldapsearch -x -LLL cn=app
    
dn: cn=app,ou=Group,dc=gdy,dc=com
    
objectClass: posixGroup
    
cn: app
    
gidNumber: 10005

3. 客户端配置

  1. 查看当前sudo版本是否支持openldap的sudo规则,不支持的版本需要进行升级

    [user1@test01 openldap]$ rpm -qi sudo  | grep -i version
    
Version     : 1.8.6p3                           Vendor: CentOS
    
// 如果sudo版本为1.7.4p5则需要对sudo进行升级,否则无法支持openldap服务器sudo规则的匹配

[user1@test01 openldap]$ sudo -V
    
Sudo version 1.8.6p3
    
Sudoers policy plugin version 1.8.6p3
    
Sudoers file grammar version 42
    
Sudoers I/O plugin version 1.8.6p3   //sudo版本的信息

  2. 客户端加入OpenLDAP服务端

    本文略,具体参考openldap客户端安装

  3. 修改nsswitch.conf配置文件,添加sudo查找顺序,命令如下

    [root@mldap01 ~]# cat >> /etc/nsswitch.conf << EOF
    
> sudoers:      ldap files
    
> EOF
    
[root@mldap01 ~]# cat /etc/nsswitch.conf | grep -i sudoers
    
sudoers:      ldap files

  4. 修改sudo-ldap.conf配置文件,添加支持后端openldap验证sudo的参数,命令如下:

    [root@mldap01 ~]# cat >> /etc/sudo-ldap.conf << EOF
    
> SUDOERS_BASE ou=Sudoers,dc=gdy,dc=com
    
> EOF
    
[root@mldap01 ~]# cat /etc/sudo-ldap.conf | grep -i Sudoers
    
## SUDOERS_BASE base
    
##  Multiple SUDOERS_BASE lines may be specified, in which
    
#sudoers_base ou=SUDOers,dc=example,dc=com
    
## SUDOERS_DEBUG debug_level
    
#sudoers_debug 1
    
uri ldap://mldap01.gdy.com
    
SUDOERS_BASE ou=sudoers,dc=gdy,dc=com

4. 客户端验证

验证OpenLDAP帐号通过sudo提取系统用户权限

```shell

ldif格式的appman用户及组

dn: uid=appman,ou=people,dc=gdy,dc=com

uid: appman

cn: appman

objectClass: account

objectClass: posixAccount

objectClass: top

objectClass: shadowAccount

userPassword: {CRYPT}$6$2v5NKeJj$e1G81HKtTa0fnNX1nqhX1ym/63/X0lHEnobGd0ZBHiwUhcy9SlF8RC.6bPH.CtEbfEVSnn.rRBkRWCAisUrgn/

shadowLastChange: 17675

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell: /bin/bash

uidNumber: 30000

gidNumber: 30000

homeDirectory: /home/appman

dn: cn=appman,ou=Group,dc=gdy,dc=com

objectClass: posixGroup

objectClass: top

cn: appman

userPassword: {crypt}x

gidNumber: 30000

[root@test01 ~]# ssh jboss@127.0.0.1

jboss@127.0.0.1's password:

Last login: Thu May 24 13:49:07 2018 from localhost

[jboss@test01 ~]$ sudo -l

Matching Defaults entries for jboss on this host:

    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MALL PS1 PS2 QTDIR

    USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER

    LC_TELEPHOME", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin:/bin:/usr/sbin:/usr/bin, !visiblepw, always_set_home,

    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",

    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME

    LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User jboss may run the following commands on this host:

    (appman) NOPASSWD: /bin/bash

[jboss@test01 ~]$ sudo -i -u appman

[appman@test01 ~]$        # 切换成功

```

5. 附:sudo常见属性介绍

sudo常见的属性有以下几个

  • sudoCommand:可执行的二进制命令,如useradd、userdel、mount、umount等。
  • sudoHost:可在哪些机器上执行sudoCommand定义的BASH命令。
  • sudoNotAfter:起始时间sudo规则匹配。
  • sudoNotBefore:结束时间sudo规则匹配。
  • sudoOption:定义超过自身权限及切换至其他用户时,是否需要输入当前用户密码。
  • sudoOrder:sudo规则执行顺序,其属性是一个整数。
  • sudoRole:定义的规则。
  • sudoRunAS:可切换到定义的用户身份下执行BASH命令。
  • sudoRunAsGroup:可切换到定义所属组并具有该组的权限。
  • sudoRunAsUser:定义可切换至哪些用户下执行命令。
  • sudoUser:限制哪些用户或哪些组内的成员具有sudo相关规则。

6. 常见错误分析

  1. 例1,报错/home/appman: No such file or directory

    [jboss@test01 ~]$ sudo -i -u appman
    
sudo: unable to change directory to /home/appman: No such file or directory
    
sudo: unable to execute /bin/bash: No such file or directory

    解决方法:在本机创建appman的家目录就可以了

05-sudo权限配置的更多相关文章

  1. sudo权限配置

    首先要禁止root的用户登录ssh  在ssh配置文件里面把root用户no掉,一般公司不允许用第三方软件直接root登陆. 一.linux给用户添加sudo权限: 有时候,linux下面运行sudo ...

  2. 04.Linux-CentOS系统sudo权限配置

    visudo权限配置普通用户的使用权限范围配置文件: (请根据自己公司需求配置) [root@localhost ~]# visudo ## Allow root to run any command ...

  3. Linux用户配置sudo权限

    Linux用户配置sudo权限 创建sudo权限用户 #useradd supope #passwd supope #visudo #supope         ALL=(ALL)       AL ...

  4. blfs(systemd版本)学习笔记-编译安装sudo并创建普通用户配置sudo权限

    我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! blfs书中sudo的安装配置章节:http://www.linuxfromscratch.org/blfs/view/stab ...

  5. blfs(systemv版本)学习笔记-编译安装sudo并创建普通用户配置sudo权限

    我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! blfs书中sudo的安装配置章节:http://www.linuxfromscratch.org/blfs/view/8.3/ ...

  6. PHP 执行命令时sudo权限的配置

    PHP 执行命令时sudo权限的配置 1.先写一个PHP文件 <?php system('whoami'); 先看自己的apache2的用户是谁,下面是笔者的截图,笔者使用apche2的用户是w ...

  7. Linux用户配置sudo权限(visudo)

    sudo的工作过程如下: 1,当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限 2,确认用户具有可执行sudo的权限后,让用户输入用户自己的密码确认 ...

  8. Linux 账号管理与 ACL 权限配置

    要登陆 Linux 系统一定要有账号与口令才行,否则怎么登陆,您说是吧?不过, 不同的使用者应该要拥有不同的权限才行吧?我们还可以透过 user/group 的特殊权限配置, 来规范出不同的群组开发项 ...

  9. 05: zabbix 监控配置

    目录:zabbix其他篇 01: 安装zabbix server 02:zabbix-agent安装配置 及 web界面管理 03: zabbix API接口 对 主机.主机组.模板.应用集.监控项. ...

  10. CentOS学习笔记--账号管理与权限配置

    Linux 的账号管理与权限配置 管理员的工作中,相当重要的一环就是『管理账号』啦! 使用者标识符: UID 与 GID 虽然我们登陆 Linux 主机的时候,输入的是我们的账号,但是其实 Linux ...

随机推荐

  1. Android多线程编程<一>Android中启动子线程的方法

          我们知道在Android中,要更新UI只能在UI主线程去更新,而不允许在子线程直接去操作UI,但是很多时候,很多耗时的工作都交给子线程去实现,当子线程执行完这些耗时的工作后,我们希望去修改 ...

  2. 安装mysql.zip文件教程(包含常见问题修复)

    参考链接: https://jingyan.baidu.com/article/63f236284aca280208ab3dcc.html https://jingyan.baidu.com/arti ...

  3. interface21 - web - ContextLoaderListener(Spring Web Application Context加载流程)

    前言 最近打算花点时间好好看看spring的源码,然而现在Spring的源码经过迭代的版本太多了,比较庞大,看起来比较累,所以准备从最初的版本(interface21)开始入手,仅用于学习,理解其设计 ...

  4. TCP/IP 笔记 - 传输控制协议

    与UDP不同,TCP提供面向连接的.可靠的.基于字节流的传输层协议,且提供差错纠正. TCP传输的概念 对与分组丢失和比特差错的处理方法,最直接的方法是重发分组,直到它被正确接收. 这需要一种方法来判 ...

  5. SQL 必知必会·笔记<8>分组数据

    1. 使用GROUP BY子句创建分组 示例: SELECT vend_id, COUNT(*) AS num_prods FROM Products GROUP BY vend_id; 注意 GRO ...

  6. Docker导入、导出、删除容器

    1.导出某个容器导出某个容器,非常简单,使用docker export命令,语法:docker export $container_id > 容器快照名导出后在本地可以看到有一个centos.t ...

  7. leetcode — merge-k-sorted-lists

    import java.util.ArrayList; import java.util.List; import java.util.PriorityQueue; /** * Source : ht ...

  8. Http 概述

    Http是可靠的数据传输协议.   资源 Web服务器是Web资源(resource)的宿主.包括静态文件以及动态的内容.   媒体类型 Http对每种需要由web传输的对象都打上了名为MIME类型的 ...

  9. [PHP] 算法-邻接矩阵图的广度和深度优先遍历的PHP实现

    1.图的深度优先遍历类似前序遍历,图的广度优先类似树的层序遍历 2.将图进行变形,根据顶点和边的关系进行层次划分,使用队列来进行遍历 3.广度优先遍历的关键点是使用一个队列来把当前结点的所有下一级关联 ...

  10. [PHP] 算法-找出两个链表的第一个公共结点的PHP实现

    输入两个链表,找出它们的第一个公共结点 1.两个单链表,有公共结点,那么必然,尾部公用 2.找出链表1的长度,找出链表2的长度,长的链表减去短的链表得出一个n值 3.长的链表先走n步,两个链表再同时移 ...