কেন্দ্রীভূত সুডোর জন্য ফ্রিআইপিএ ব্যবহার করে - সমস্ত আদেশগুলি কীভাবে নির্দিষ্ট করবেন?

ফ্রিআইপিএর মডেলটি নিয়ে মাথা মুড়ে ফেলার জন্য আমার খুব কষ্ট হচ্ছে। ফ্রিআইপিএ ম্যানুয়ালটিতে বলা হয়েছে:

ফ্রিআইপিএ sudo কমান্ড গোষ্ঠীগুলির সাথে একটি অতিরিক্ত নিয়ন্ত্রণ পরিমাপ যোগ করে, যা একটি গ্রুপ কমান্ডকে সংজ্ঞায়িত করার অনুমতি দেয় এবং তারপরে sudo কনফিগারেশনটিকে এক হিসাবে প্রয়োগ করা হয়।

তবে তাদের উদাহরণগুলি মূলত একটি sudo কমান্ড গোষ্ঠী তৈরি করা এবং একটি "ফাইল" sudo কমান্ড গ্রুপের মতো নির্দিষ্ট sudo কমান্ড যুক্ত করার বিষয়ে কথা বলে ।vimless

যেমন কমান্ডলাইন থেকে:

ipa sudocmdgroup-add --desc 'File editing commands' files

ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'

ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files

তবে আপনি কীভাবে সুনির্দিষ্টভাবে উল্লেখ করতে ALLপারেন আপনি / ইত্যাদি / সুডোরগুলিতে? এটি কি ওয়াইল্ডকার্ড করা যায় (উদাঃ *)?

sudo freeipa

— HTTP500
সূত্র

উত্তর:

আপনি যদি কোনও গ্রুপ ব্যবহারকারীদের সাথে কোনও কমান্ড কার্যকর করতে সক্ষম হন তবে আপনাকে কমান্ড গোষ্ঠীগুলি তৈরি করতে হবে না sudo। আপনার কেবলমাত্র একটি সুডোর নিয়ম দরকার যা সমস্ত কমান্ডকে অনুমতি দেয় এবং আপনি ফ্রিআইপিএ ইনস্টল করার সময় একটি ডিফল্টরূপে আপনার জন্য তৈরি করা উচিত ছিল।

# ipa sudorule-find All
-------------------
1 Sudo Rule matched
-------------------
  Rule name: All
  Enabled: TRUE
  Host category: all
  Command category: all
  RunAs User category: all
  User Groups: admins
----------------------------
Number of entries returned 1
----------------------------

(যদি এই জাতীয় নিয়ম না থাকে তবে এটি তৈরি করুন))

ipa sudorule-add --cmdcat=all All

এই সুডোর নিয়মে কেবল ব্যবহারকারী বা গোষ্ঠী যুক্ত করুন যা আপনি যে sudoকোনও কমান্ড দিয়ে সক্ষম হতে চান ।

ipa sudorule-add-user --groups=admins All

আপনি যদি পছন্দ করেন তবে ওয়েব ইউআই থেকেও এটি করতে পারেন।

— মাইকেল হ্যাম্পটন
সূত্র

নিয়মটি ডিফল্টরূপে ছিল না এবং আপনার সাথে মেলে এমন একটি নিয়ম পেতে কিছুটা সময় নিয়েছিল, যেমন "%% ALL = (ALL) ALL") তবে আমি মনে করি আমি এখন আলোকিতের পথে আছি। অনেক প্রশংসা, ধন্যবাদ!

— HTTP500

এটি কমান্ড লাইনের চেয়ে ওয়েব ইউআইতে স্পষ্টতই অনেক সহজ ছিল এমন একটি কাজ। সিএলআইয়ের সাথে এটি দূরে যেতে আমার বেশ কিছুটা সময় নিয়েছিল।

— মাইকেল হ্যাম্পটন

সম্মত, আমি ওয়েব ইউআই-তে নিয়মটি শেষ করেছি।

— HTTP500

আপনি যদি নিয়মটি সমস্ত হোস্টের মধ্যে কার্যকর হতে চান তবে আমি লক্ষ্য করেছি যে --hostcat=allনিয়মটি তৈরি করার সময় নির্দিষ্ট করে না দিয়ে sudo অনুমোদিত নয় (জারি করে একটি বিদ্যমান নিয়মে এই বিকল্পটি যুক্ত করা সম্ভব sudorule-mod --hostcat=all)।

— nivs

@ এইচটিটিপি 500 যদি আপনার ওপি বা স্বীকৃত উত্তরে তালিকাভুক্ত না করে এমন কিছু করতে হয় তবে দয়া করে অন্যের জন্য পদক্ষেপ / বিশদ সরবরাহ করুন, যেমন নিয়মটি ডিফল্টরূপে উপস্থিত ছিল না এবং একটি নিয়ম পেতে কিছুটা সময় নিয়েছিল যা তোমার সাথে মিলেছে ... কোন বিট কাজের দরকার ছিল? আপনি কীভাবে পছন্দসই ফলাফল অর্জন করলেন?

— 0x শিপডগ

আপনি যখন ALLকোনও নিয়মে যুক্ত করতে চান , আপনি মান সহ বিভাগের বিকল্পটি ব্যবহার করতে পারেন all। কমান্ডগুলির --cmdcat=allজন্য যা হোস্টদের --hostcat=allজন্য, - ব্যবহারকারীদের জন্য - --usercat=allএবং নীচে আরও কয়েকটি।

এই সমস্ত বিকল্প এতে দৃশ্যমান ipa sudorule-add --help:

$ ipa sudorule-add --help
Usage: ipa [global-options] sudorule-add SUDORULE-NAME [options]

Create new Sudo Rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            Description
  --usercat=['all']     User category the rule applies to
  --hostcat=['all']     Host category the rule applies to
  --cmdcat=['all']      Command category the rule applies to
  --runasusercat=['all']
                        RunAs User category the rule applies to
  --runasgroupcat=['all']
                        RunAs Group category the rule applies to
...

— abbra
সূত্র