使用 SSSD 配置 Sudo

Question

我认为您误解了配置文件开关的用途 - 它们用于映射查询对象的 LDAP 值。指令默认为辅助对象类指定的值（在 CentOS 上，架构位于 /usr/share/doc/sudo-*/schema.ActiveDirectory）。

您应该在 AD 中导入此模式，使用此对象类创建代表 sudo 角色的对象并让 SSSD 查询它们。

请看下面的详尽示例：

以下是从 LDAP 查询用户、组和 sudo 角色的 SSSD 配置示例。将 <> 括起来的部分替换为适合您环境的值：

[domain/default]
id_provider = ldap
auth_provider = ldap
access_provider = ldap
chpass_provider = ldap
sudo_provider = ldap
ldap_uri = ldaps://<ldap-server-address>:636
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
ldap_tls_reqcert = demand
ldap_default_bind_dn = <proxy-user-dn>
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = <obfuscated password>                                                                                      
ldap_search_base = <search base for users>
ldap_schema = rfc2307bis
ldap_group_search_base = <search base for groups>
ldap_sudo_search_base = <search base for sudo rules>
cache_credentials = false
enumerate = false

[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2
domains = default

[nss]

[pam]

[sudo]

[autofs]

[ssh]

在您的 LDAP 目录中，创建一个如下ldap_sudo_search_base所示的对象：

objectClass: Top
objectClass: sudoRole
sudoRunAsUser: ALL
sudoHost: yourhost.example.com
sudoUser: %wheel
sudoCommand: ALL
description: Allows members of wheel to become root
cn: wheel_group_sudo_role

这允许组 wheel 的所有成员成为主机 yourhost.example.com 上的 root 权限。

sudo -U testuser -ll在目标主机上以 root 身份运行应该会产生以下结果：

LDAP Role: wheel_group_sudo_role
    RunAsUsers: ALL
    RunAsGroups: ALL
    Commands:
        ALL

编辑：

正如您所想象的，由于 SSSD 为 Linux 机器提供了用户，您可以将他们视为普通 Linux 用户，从而创建本地 sudo 规则：

/etc/sudoers.d/00-local-admin-rule

%ad-admin-group ALL: (ALL) ALL

这允许成员ad-admin-group调用 sudo 来成为 root 。

当谈到时*_search_base，指的是某种形式的 LDAP 容器对象的 DN，例如组织单位，如 ou=users,o=corg,dc=example,dc=org 或您的目录所具有的任何层次结构。在指定的容器下创建所需类型的对象。

Answer 1