我一直在寻找向 openldap 添加 sudo 管理的说明,但我发现的所有说明都涉及更改 ldap.conf。较新版本的 slapd 使用基于目录文件的数据库,您不应该直接接触它。
有没有关于在 CentOS 7 上的 OpenLDAP 2.4.x 上配置 sudo 权限的指南?
答案1
事实上,有:openldap-sudoers-schema.ldif
有两种主要方法可以实现此目的,一种是通过 ldif 文件创建 ldapSUDOER.schema,另一种是通过创建在每个主机上授予 sudo 权限的 posixgroup。您可以混合使用这两种方法,但选择 ldapSUDOER 方法的开销最小。您不必通过更改文件来配置单个主机服务器/etc/sudoers,而是可以从 LDAP 服务器管理所有服务器,这样更方便一些。
如果你进行了很多更改,那么它也更安全,因为很容易忘记你对每个主机所做的更改。随着时间的推移,这样的遗留问题可能会给你的安全带来一些小漏洞。
无论您使用专用的 sudoers 模式还是采用 posix 路由,您都需要根据通过 LDAP 设置身份验证的方式进行一些 PAM 和 SSSD/NSCD 配置更改。
RedHat 还提供了指导应该与 CentOS 几乎相同。我实际上使用本指南在 Debian 上实现我自己的 OpenLDAP,它对于必要的 sssd 和 pam 配置组件仍然非常有用。
我建议您在处理 PAM 配置时要小心谨慎,因为任何更改都可能破坏系统上的身份验证。请确保在进行更改时始终在服务器上打开本地会话,并在关闭会话之前彻底测试身份验证。强烈建议您在开始之前进行系统备份,以便在需要时有后备方案。
——干杯!