我有一个 OpenLDAP 安装,它也可以管理 Sudo。每次我创建 sudoers 角色时,我都必须列出该 sudoers 角色可以运行的命令。这会导致大量重复。
有没有办法以 Netgroup 的方式对 Linux 命令进行分组,并在 LDAP sudoers 角色 SudoCommand 字段中扩展该 Netgroup?例如:创建一个名为“view”的 Netgroup(或其他名称),其成员为 /bin/ls、/usr/bin/less、/usr/bin/tail,然后在 SudoCommand 字段中输入 +view。
当需要将相同的命令授予不同目录/文件的各种 SudoRoles 时,这会很有用吗?
答案1
目前,这在当前的 sudoers.schema 定义中不存在,并且 sudo-ldap 软件本身可能无法对其进行查找。您必须在命令定义中列出每个命令。
但是如果你的命令位于公共目录中,则可以使用一些正则表达式来引用它:sudoCommand = /usr/lib/nagios/plugins/*
我就是这么做的。