sudo-Regeln im Directory-Server

Root registriert

Zentral gespeicherte sudo-Regeln helfen dabei, den administrativen Aufwand für den Zugang zu diesen Regeln klein zu halten. Was aber, wenn als zentraler Verzeichnisdienst ein Active Directory zum Einsatz kommt? Der Open-Source-Tipp in diesem Monat zeigt, wie die zugehörige Konfiguration aussieht.
Sich wiederholende Aufgaben sind mühselig und fehleranfällig, wenn sie von Hand ausgeführt werden. Im August befasst sich IT-Administrator deshalb mit dem ... (mehr)

Es ist gute Praxis, dass Administratoren sich nicht direkt als root auf einem System anmelden, sondern einen eigenen Account verwenden. Stehen administrative Aufgaben an, so wird die Arbeit mittels sudo erledigt. Die dafür notwendigen sudo-Regeln legen daher fest, welcher Account Zugriff auf welche Kommandos hat. Bei Bedarf lässt sich der Zugriff weiter einschränken, sodass Befehle beispielsweise nur auf einem bestimmten Host ausgeführt werden dürfen oder nur zu bestimmten Zeiten zur Verfügung stehen. Standardregeln liegen dabei in der "sudoers"-Datei, eigene Regeln speichern Sie in individuellen Dateien unterhalb von "/etc/sudoers.d". Voraussetzung hierfür ist natürlich, dass die "sudoers"-Datei eine entsprechende "includedir"-Anweisung enthält.

Da das Management lokal vorgehaltener sudo-Dateien unter Umständen recht schnell sehr umständlich werden kann, besteht glücklicherweise auch die Möglichkeit, die sudo-Regeln in einem zentralen Verzeichnisdienst abzulegen. Clients greifen dann über LDAP auf diesen zurück und gelangen somit ebenfalls an die notwendigen Informationen. Damit diese auch off-line zur Verfügung stehen, bieten moderne Client-Anwendungen das Caching dieser Regeln auf dem Client-System an.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023