Wir haben mittlerweile sudo in UCS fix integriert. Das ganze kann im LDAP grafisch verwaltet werden. Hierfür muss lediglich am Domänencontroller das Paket installiert werden.
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 2FAB19E7CCB7F415
echo "deb https://apt.iteas.at/iteas buster main" > /etc/apt/sources.list.d/iteas.list
apt update
apt install ucs-iteas-sudo
Hier zwei Beispiele:
dn: cn=sudo_backuppc,cn=SUDOers,cn=apps,dc=tux,dc=lan
sudoCommand: /usr/bin/rsync
sudoCommand: /usr/sbin/slapcat
cn: sudo_backuppc
sudoHost: ALL
sudoUser: backuppc
objectClass: top
objectClass: sudoRole
objectClass: univentionObject
univentionObjectType: iteas/sudoers
sudoOption: !authenticate
description: Benutzer wird verwendet um Backups von Rechnern ab zu holen
structuralObjectClass: sudoRole
dn: cn=sudo_ldapuser_commands,cn=SUDOers,cn=apps,dc=tux,dc=lan
cn: sudo_ldapuser_commands
sudoHost: ALL
sudoUser: %ldapbenutzer
objectClass: top
objectClass: sudoRole
objectClass: univentionObject
univentionObjectType: iteas/sudoers
sudoOption: !authenticate
sudoOrder: 40
description: Mitglieder der Gruppe LDAbenutzer duerfen die folgenden Befehle
ohne Passworteingabe mit Adminrechten ausfuehren
sudoCommand: /usr/bin/nmap
sudoCommand: /bin/umount
sudoCommand: /opt/puppetlabs/puppet/bin/puppet
sudoCommand: /bin/mount
sudoCommand: /usr/bin/updatedb
sudoCommand: /sbin/reboot
sudoCommand: /bin/efibootmgr
sudoCommand: /usr/sbin/openvpn
Am Client muss man dann lediglich sudo-ldap konfigurieren/ausrollen, fertig.
Siehe auch: https://deepdoc.at/dokuwiki/doku.php?id=prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen
und: https://deepdoc.at/dokuwiki/doku.php?id=prebuilt_systems:ucs:ucs_und_sudo_auf_ubuntu-clients