Sudo/Domain: различия между версиями

Материал из ALT Linux Wiki
мНет описания правки
мНет описания правки
Строка 13: Строка 13:


== Ссылки по теме ==
== Ссылки по теме ==
https://learn.microsoft.com/ru-ru/windows/win32/secauthz/sid-strings
# https://learn.microsoft.com/ru-ru/windows/win32/secauthz/sid-strings
https://learn.microsoft.com/ru-ru/windows/win32/secauthz/security-descriptor-string-format
# https://learn.microsoft.com/ru-ru/windows/win32/secauthz/security-descriptor-string-format
https://learn.microsoft.com/ru-ru/windows/win32/secauthz/security-descriptor-definition-language-for-conditional-aces-
# https://learn.microsoft.com/ru-ru/windows/win32/secauthz/security-descriptor-definition-language-for-conditional-aces-

Версия от 21:12, 30 ноября 2023


Предназначение

В доменной среде удобно размещать правила sudo не в виде отдельных файлов в /etc/sudoers.d, а хранить их в LDAP каталоге. Именно это реализовано при использовании домена на базе FreeIPA. Но и в среде AD/Samba такая же возможность присутствует и не сложна в настройке. Ниже я опишу 2 варианта конфигурации исходя из того на базе чего поднят домен.

Microsoft ActiveDirectory

Samba DC

Не смотря на всю схожесть с AD, конфигурация данного решения требует некоторых корректив

Примечания

Все это работает при использовании sssd. В случае использования winbind, вероятно, придется использовать sudo-ldap

Ссылки по теме

  1. https://learn.microsoft.com/ru-ru/windows/win32/secauthz/sid-strings
  2. https://learn.microsoft.com/ru-ru/windows/win32/secauthz/security-descriptor-string-format
  3. https://learn.microsoft.com/ru-ru/windows/win32/secauthz/security-descriptor-definition-language-for-conditional-aces-