ich versuche das bereits importierte sudo openLDAP schema an eine Gruppe “sudoers” bzw. deren Benutzer zu hängen, finde aber keine weg dies über die GUI zu tun. Gibt es hier eine Lösung um die attribute (sudoUser, sudoHost…usw) an die jeweiligen Nutzer zu setzen?
Ich versuche das auch. Ich wollte das ganz normal in plain machen, aber ich kann nichts hinzufügen. Sudo scheint ja überhaupt nirgends auf. Ist denn das Schema überhaupt dabei? … zumindest nicht unter /etc/ldap/schema.
Sehr seltsam.
Wir haben mittlerweile sudo in UCS fix integriert. Das ganze kann im LDAP grafisch verwaltet werden. Hierfür muss lediglich am Domänencontroller das Paket installiert werden.
dn: cn=sudo_backuppc,cn=SUDOers,cn=apps,dc=tux,dc=lan
sudoCommand: /usr/bin/rsync
sudoCommand: /usr/sbin/slapcat
cn: sudo_backuppc
sudoHost: ALL
sudoUser: backuppc
objectClass: top
objectClass: sudoRole
objectClass: univentionObject
univentionObjectType: iteas/sudoers
sudoOption: !authenticate
description: Benutzer wird verwendet um Backups von Rechnern ab zu holen
structuralObjectClass: sudoRole
dn: cn=sudo_ldapuser_commands,cn=SUDOers,cn=apps,dc=tux,dc=lan
cn: sudo_ldapuser_commands
sudoHost: ALL
sudoUser: %ldapbenutzer
objectClass: top
objectClass: sudoRole
objectClass: univentionObject
univentionObjectType: iteas/sudoers
sudoOption: !authenticate
sudoOrder: 40
description: Mitglieder der Gruppe LDAbenutzer duerfen die folgenden Befehle
ohne Passworteingabe mit Adminrechten ausfuehren
sudoCommand: /usr/bin/nmap
sudoCommand: /bin/umount
sudoCommand: /opt/puppetlabs/puppet/bin/puppet
sudoCommand: /bin/mount
sudoCommand: /usr/bin/updatedb
sudoCommand: /sbin/reboot
sudoCommand: /bin/efibootmgr
sudoCommand: /usr/sbin/openvpn
Am Client muss man dann lediglich sudo-ldap konfigurieren/ausrollen, fertig.