Hallo Community,
ich versuche das bereits importierte sudo openLDAP schema an eine Gruppe “sudoers” bzw. deren Benutzer zu hängen, finde aber keine weg dies über die GUI zu tun. Gibt es hier eine Lösung um die attribute (sudoUser, sudoHost…usw) an die jeweiligen Nutzer zu setzen?
Vieln Dank im voraus !
Ich versuche das auch. Ich wollte das ganz normal in plain machen, aber ich kann nichts hinzufügen. Sudo scheint ja überhaupt nirgends auf. Ist denn das Schema überhaupt dabei? … zumindest nicht unter /etc/ldap/schema.
Sehr seltsam.
Ich jetzt noch das gefunden, aber das gibt es wohl auch nicht mehr: https://wiki.univention.de/index.php/Cool_Solution_-_Setup_sudo_with_ldap_on_multiserver_environments
Man kann dafür einfach erweiterte Attribute anlegen und nutzen.
Das interessiert mich auch gerade. Wie mache ich das in UCS5, um einem einzelnen User auf einem spezifischen Host sudo-Rechte zu gewähren?
Wir haben mittlerweile sudo in UCS fix integriert. Das ganze kann im LDAP grafisch verwaltet werden. Hierfür muss lediglich am Domänencontroller das Paket installiert werden.
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 2FAB19E7CCB7F415
echo "deb https://apt.iteas.at/iteas buster main" > /etc/apt/sources.list.d/iteas.list
apt update
apt install ucs-iteas-sudo
Hier zwei Beispiele:
dn: cn=sudo_backuppc,cn=SUDOers,cn=apps,dc=tux,dc=lan
sudoCommand: /usr/bin/rsync
sudoCommand: /usr/sbin/slapcat
cn: sudo_backuppc
sudoHost: ALL
sudoUser: backuppc
objectClass: top
objectClass: sudoRole
objectClass: univentionObject
univentionObjectType: iteas/sudoers
sudoOption: !authenticate
description: Benutzer wird verwendet um Backups von Rechnern ab zu holen
structuralObjectClass: sudoRole
dn: cn=sudo_ldapuser_commands,cn=SUDOers,cn=apps,dc=tux,dc=lan
cn: sudo_ldapuser_commands
sudoHost: ALL
sudoUser: %ldapbenutzer
objectClass: top
objectClass: sudoRole
objectClass: univentionObject
univentionObjectType: iteas/sudoers
sudoOption: !authenticate
sudoOrder: 40
description: Mitglieder der Gruppe LDAbenutzer duerfen die folgenden Befehle
ohne Passworteingabe mit Adminrechten ausfuehren
sudoCommand: /usr/bin/nmap
sudoCommand: /bin/umount
sudoCommand: /opt/puppetlabs/puppet/bin/puppet
sudoCommand: /bin/mount
sudoCommand: /usr/bin/updatedb
sudoCommand: /sbin/reboot
sudoCommand: /bin/efibootmgr
sudoCommand: /usr/sbin/openvpn
Am Client muss man dann lediglich sudo-ldap konfigurieren/ausrollen, fertig.
Siehe auch: https://deepdoc.at/dokuwiki/doku.php?id=prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen
und: https://deepdoc.at/dokuwiki/doku.php?id=prebuilt_systems:ucs:ucs_und_sudo_auf_ubuntu-clients