Es fällt mir schwer, mich mit dem FreeIPA-Modell zu beschäftigen. Im FreeIPA- Handbuch heißt es:
FreeIPA fügt eine zusätzliche Kontrollmaßnahme mit sudo-Befehlsgruppen hinzu, mit der eine Gruppe von Befehlen definiert und dann als eine auf die sudo-Konfiguration angewendet werden kann.
In ihren Beispielen geht es jedoch im Wesentlichen um das Erstellen einer Sudo-Befehlsgruppe und das Hinzufügen bestimmter Sudo-Befehle wie vim
und less
zu einer "Dateien" -Sudo-Befehlsgruppe.
zB von der Kommandozeile:
ipa sudocmdgroup-add --desc 'File editing commands' files
ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'
ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files
Aber wie spezifizieren ALL
Sie wie in / etc / sudoers? Kann dies mit einem Platzhalter versehen werden (z. B. *)?
--hostcat=all
sudo ohne Angabe beim Erstellen der Regel nicht zulässig ist (das Hinzufügen dieser Option zu einer vorhandenen Regel ist durch Ausgabe möglichsudorule-mod --hostcat=all
).Wenn Sie
ALL
einer Regel hinzufügen möchten , können Sie die Kategorieoption mit Wert verwendenall
. Für Befehle, die--cmdcat=all
für Hosts ---hostcat=all
, für Benutzer ---usercat=all
und einige weitere unten gelten.Alle diese Optionen sind sichtbar in
ipa sudorule-add --help
:quelle