Comment intégrer Sudoers au serveur FreeIPA
Sudo est une application qui vous permet d'obtenir des privilèges root ou administrateur sur les systèmes d'exploitation Linux et Unix. Sudo est principalement installé par défaut sur les distributions Linux, vous pouvez également configurer l'autorisation des utilisateurs via le fichier /etc/sudoers et permettre aux utilisateurs non privilégiés d'exécuter des commandes spécifiques en tant qu'utilisateur root.
Sudo peut être configuré de plusieurs manières. Vous pouvez configurer sudo sur un ordinateur/serveur local ou configurer un sudo centralisé via un logiciel tiers. Pour cet exemple, vous utiliserez le serveur FreeIPA pour configurer un déploiement sudo centralisé.
FreeIPA est intégré à plusieurs outils qui facilitent le travail des administrateurs, notamment l'intégration sudo. Vous pouvez configurer l'accès entièrement sudo pour les utilisateurs de FreeIPA et configurer sudo pour des commandes spécifiques, qui incluent la règle HBAC (Host-based Access Control) ainsi que le groupe de commandes Sudo.
Dans ce tutoriel, vous apprendrez comment intégrer Sudoers et FreeIPA avec deux scénarios. Vous apprendrez également l'utilisation de base de l'utilitaire de commande 'ipa' pour gérer l'utilisateur, le groupe d'utilisateurs, le groupe d'hôtes, la règle Sudo, la règle HBAC et le groupe de commandes Sudo. Cela explique également comment configurer et intégrer le service SSSD avec Sudo et FreeIPA sur les machines clientes.
Conditions préalables
Pour terminer ce tutoriel, le serveur FreeIPA doit être installé et entièrement configuré. Vous pouvez trouver des tutoriels pour Debian, Ubuntu et Rocky Linux ici :
- https://linux-console.net/how-to-add-ubuntu-system-to-freeipa-server/
- https://linux-console.net/how-to-install-freeipa-on-rocky-linux-9/
- https://linux-console.net/how-to-install-freeipa-server-with-docker-on-debian/
Vous devez également disposer d'un utilisateur FreeIPA et d'un ordinateur client configuré en tant que client FreeIPA. En plus de cela, l'utilisateur non root disposant des privilèges d'administrateur sudo/root est également nécessaire sur le serveur FreeIPA et sur le client.
Cet exemple utilise deux serveurs Rocky Linux avec les détails suivants :
Hostname IP Address Used as
--------------------------------------------------
ipa.hwdomain.lan 192.168.5.20 FreeIPA Server
client.hwdomain.lan 192.168.5.75 FreeIPA ClientLorsque ces exigences sont prêtes, démarrez l’intégration de Sudoers avec FreeIPA.
Permet aux utilisateurs de FreeIPA d'exécuter entièrement Sudo
Tout d'abord, vous apprendrez comment intégrer les Sudoers au serveur FreeIPA en créant une règle Sudo spécifique qui permettait aux utilisateurs d'exécuter « sudo ». Dans cet exemple, vous allez configurer un utilisateur FreeIPA existant appelé « rocky » pour pouvoir exécuter la commande « sudo » sur chaque machine client et obtenir les privilèges root.
Vous trouverez ci-dessous les étapes à suivre pour intégrer Sudoers au serveur FreeIPA :
- Vérifier l'utilisateur et les connexions
- Activer la fonctionnalité Sudo sur le service SSSD (sur la machine client)
- Configuration de la règle Sudo
- Vérifier l'intégration de Sudoers
Maintenant, commençons.
Vérifier l'utilisateur et la connexion FreeIPA
Dans cette section, vous vérifierez et vous assurerez que l'utilisateur FreeIPA « rocky » est disponible sur le serveur FreeIPA et vous assurerez que l'utilisateur peut se connecter à la machine client « client.hwdomain.lan ».
Cet exemple utilise un utilisateur FreeIPA 'rocky', entrez la commande 'ipa' suivante pour vous assurer que l'utilisateur 'rocky' est disponible sur le serveur FreeIPA.
ipa user-find rockyUne sortie '1 utilisateur correspondant' confirme que l'utilisateur 'rocky' est disponible sur le serveur FreeIPA.
Ensuite, entrez la commande suivante pour vous connecter à la machine client FreeIPA en utilisant l'utilisateur 'rocky'. Cela garantira que l'utilisateur peut se connecter aux machines clientes FreeIPA. Dans cet exemple, le serveur appelé « client.hwdomain.lan » est utilisé comme machine client FreeIPA.
ssh [email Saisissez le mot de passe de l'utilisateur 'rocky'. Après vous être connecté à la machine client, entrez la commande suivante pour identifier l'utilisateur actuel.
whoami
id
Entrez la commande 'sudo su' suivante pour obtenir un accès root ou des privilèges. Après avoir tapé votre mot de passe, vous devriez obtenir une erreur telle que « rocky n'est pas dans le fichier sudoers. Cet incident sera signalé.'
sudo suActiver la fonctionnalité Sudo sur le service SSSD
Avant de configurer Sudoers avec FreeIPA, vous devez activer la fonctionnalité « with-sudo » sur le service SSSD sur la machine client. Dans cette section, vous activerez la fonctionnalité SSSD 'sudo' via l'utilitaire 'authselect'. Assurez-vous donc d'exécuter ces commandes sur la machine client 'client.hwdomain.lan'.
Entrez la commande suivante « authselect » pour activer « sudo » sur le service SSSD. Vous devez activer la fonctionnalité « sudo » sur SSSD afin que les utilisateurs de FreeIPA puissent exécuter la commande « sudo » sur la machine client.
sudo authselect enable-feature with-sudoEnsuite, redémarrez le service SSSD via l'utilitaire de commande systemctl suivant. Ensuite, vérifiez le service SSSD pour vous assurer qu'il est en cours d'exécution.
sudo systemctl restart sssd
sudo systemctl status sssdUne sortie « actif (en cours d'exécution) » confirme que le service SSSD est en cours d'exécution sur la machine client.
Enfin, entrez la commande suivante pour afficher la liste des fonctionnalités activées sur la source d'authentification actuelle. Sur la machine client FreeIPA, SSSD est activé par défaut comme source d'authentification.
authselect currentDans la section « Fonctionnalités activées », vous devriez voir le paramètre « with-sudo ». Cela confirme que la fonctionnalité « sudo » est activée sur le profil d'authentification SSSD.
Configuration de la règle Sudo
Sudo est une application qui vous permet d'exécuter la commande en tant qu'utilisateur root ou vous pouvez également obtenir l'utilisateur root avec. Par défaut, Freeipa prend en charge Sudo et fournit un utilitaire de ligne de commande pour intégrer Sudo au serveur FreeIPA.
Dans cette section, vous intégrerez Sudo à FreeIPA en créant une règle Sudo. Vous configurerez d’abord le groupe d’utilisateurs, puis vous configurerez la règle Sudo qui permet à tous les utilisateurs du groupe spécifique d’accéder et d’exécuter Sudo.
Sur le serveur FreeIPA, entrez la commande suivante pour créer un nouveau groupe appelé « sysadmin » sur le serveur FreeIPA. Ensuite, vérifiez les détails du groupe 'sysadmin'.
ipa group-add --desc='Sysadmin Team' sysadmin
ipa group-find sysadminUne sortie 'Groupe ajouté "sysadmin"' confirme que le nouveau groupe est créé sur le serveur FreeIPA. Une fois la commande 'ipa group-find' exécutée, vous devriez obtenir un résultat tel que "1 groupe correspondant", ce qui signifie le groupe "sysadmin' est ajouté et disponible.
Ensuite, entrez la commande suivante pour créer une nouvelle règle Sudo appelée « sysadmin_sudo ». Le 'ipa sudorule-add' est un utilitaire qui peut être utilisé pour ajouter la règle sudo au serveur FreeIPA. De plus, vous créez une nouvelle règle sudo avec certains paramètres '--hostcat=all --runasusercat=all --runasgroupcat=all --cmdcat=all' qui permettent à cette règle d'exécuter sudo sur chaque machine client et tout utilisateur ou groupe qui fera partie de la règle 'sysadmin_sudo'.
ipa sudorule-add sysadmin_sudo \
--hostcat=all --runasusercat=all --runasgroupcat=all --cmdcat=allUne sortie « Règle Sudo ajoutée "sysadmin_sudo" » confirme que la nouvelle règle sudo est créée.
Entrez maintenant la commande suivante pour ajouter le groupe 'sysadmin' à la règle sudo 'sysadmin_sudo'. Cela permettra à tous les utilisateurs FreeIPA du groupe 'sysadmin' d'exécuter la commande sudo sur chaque ordinateur client FreeIPA.
ipa sudorule-add-user sysadmin_sudo --group sysadmin
Vérifiez les détails de la règle sudo 'sysadmin_sudo' à l'aide de la commande suivante. Dans la section 'User Grous', vous devriez voir le groupe 'sysadmin' ajouté et disponible sur 'sysadmin_sudo'.
ipa sudorule-show sysadmin_sudo
Enfin, entrez la commande suivante pour ajouter l'utilisateur FreeIPA 'rocky' au groupe 'sysadmin'. Ensuite, vérifiez les détails du groupe « sysadmin » pour vous assurer que votre utilisateur est ajouté.
ipa group-add-member --user=rocky sysadmin
ipa group-show sysadminSur les détails du groupe 'sysadmin', vous devriez voir l'utilisateur 'rocky' ajouté et ce groupe fait également partie de la règle sudo 'sysadmin_sudo'.
À ce stade, vous avez maintenant configuré et autorisé l'utilisateur « rocky » via le groupe « sysadmin » et la règle Sudo « sysadmin_sudo » à exécuter Sudo sur toutes les machines clientes. Dans l'étape suivante, vous vérifierez l'intégration de Sudo avec le serveur FreeIPA.
Vérifier l'intégration de Sudoers avec FreeIPA
Dans cette section, vous vous assurerez que l'intégration de Sudo avec FreeIPA fonctionne. Ceci peut être réalisé en vous connectant à la machine client en tant qu'utilisateur « rocky », puis en exécutant la commande « sudo » pour obtenir les privilèges root.
Entrez la commande suivante pour vous connecter à la machine client FreeIPA « client.hwdomain.lan » en utilisant l'utilisateur « rocky ». Lorsque vous y êtes invité, saisissez le mot de passe de l'utilisateur « rocky ».
ssh [email Une fois connecté à la machine client, exécutez la commande suivante pour identifier votre utilisateur actuel. Vous devriez voir que vous êtes connecté en tant qu'utilisateur 'rocky'.
id
whoamiEntrez maintenant la commande 'sudo' ci-dessous pour vérifier les privilèges root 'sudo' pour l'utilisateur FreeIPA 'rocky'. Lorsque vous y êtes invité, saisissez le mot de passe de l'utilisateur « rocky ».
sudo id
sudo suUne fois l'opération réussie, l'invite de votre shell devrait être modifiée en « root@hostname ... ». Cela confirme que vous disposez désormais des privilèges root et que vous êtes connecté en tant qu'utilisateur root.
Identifiez votre utilisateur actuel à l'aide de la commande ci-dessous. Vous devriez voir que vous êtes actuellement connecté en tant qu'utilisateur « root ».
id
whoami
Dans cet esprit, vous avez désormais intégré avec succès Sudoers au serveur FreeIPA. Tout utilisateur du groupe 'sysadmin' peut désormais exécuter la commande 'sudo' et obtenir les privilèges root sur chaque ordinateur client.
Permet aux utilisateurs de FreeIPA d'exécuter Sudo pour des commandes spécifiques
Pour ce scénario, vous configurerez un nouvel utilisateur FreeIPA qui pourra se connecter à la machine client et exécuter Sudo pour des commandes spécifiques.
Dans cet exemple, vous allez configurer un nouvel utilisateur appelé « max » qui pourra se connecter à la machine client « client.hwdomain.lan » via SSH et exécuter Sudo mais pour certaines commandes de gestion de la pile LEMP.
Pour y parvenir, vous devrez suivre les étapes suivantes :
- Création d'un utilisateur et d'un groupe FreeIPA
- Création d'un groupe d'hôtes
- Création d'une règle HBAC (Host-Based Access Control)
- Création d'une règle Sudo
- Création d'un groupe de commandes Sudo
- Vérifiez l'intégration Sudo avec FreeIPA
Maintenant, commençons.
Création d'un utilisateur et d'un groupe FreeIPA
Tout d’abord, vous devrez créer et définir un utilisateur et un groupe spécifiques. Dans cet exemple, vous allez créer un nouvel utilisateur « max » et le groupe d'utilisateurs « systemadmin » sur le serveur FreeIPA. Vous vérifierez également le nouvel utilisateur « max » pour vous assurer que l'utilisateur peut accéder et se connecter à l'ordinateur client 'client.hwdomain.lan'.
Créez un nouvel utilisateur FreeIPA appelé « max » en entrant la commande « ipa user-add » ci-dessous. Saisissez le mot de passe de votre nouvel utilisateur lorsque vous y êtes invité et répétez.
ipa user-add max --first=Max --last=Rods --password
Vérifiez maintenant les détails de l'utilisateur 'max' à l'aide de la commande suivante. Vous devriez voir la configuration détaillée par défaut de l'utilisateur 'max'.
ipa user-find max
Ensuite, entrez la commande suivante pour ajouter un nouveau groupe « systemadmin ». Ensuite, ajoutez l'utilisateur 'max' au groupe 'sysadmin'.
ipa group-add --desc='System Admin Team' systemadmin
ipa group-add-member --user=max systemadminVérifiez la configuration détaillée du groupe « systemadmin » à l'aide de la commande suivante. Vous devriez voir que l'utilisateur 'max' est ajouté et disponible sur le groupe 'systemdadmin'.
ipa group-show systemadmin
Pour vous assurer que le nouvel utilisateur peut se connecter à la machine client, entrez la commande ssh suivante. Dans cet exemple, l'utilisateur 'max' se connectera à la machine client 'client.hwdomain.lan'.
ssh [email Lorsque vous y êtes invité, saisissez votre mot de passe. Ensuite, il vous sera également demandé de modifier le mot de passe par défaut. ALORS, saisissez votre mot de passe actuel, puis saisissez le nouveau mot de passe et répétez.
Après vous être connecté, identifiez votre utilisateur actuel à l'aide de la commande suivante.
id
whoamiVous devriez voir que vous êtes connecté en tant qu'utilisateur « max » au « client.hwdomain.lan ».
Création d'un groupe d'hôtes
Après avoir créé l'utilisateur et le groupe, vous allez maintenant créer et configurer le groupe hôte sur FreeIPA. Vous allez créer un nouveau groupe d'hôtes appelé « appserver », et le membre de ce groupe sera un « client.hwdomain.lan ».
Vérifiez la liste des hôtes disponibles sur FreeIPA à l’aide de la commande suivante. Cela vous montrera la liste des machines disponibles sur FreeIPA. Dans cet exemple, deux hôtes 'ipa.hwdomain.lan' et 'client.hwdomain.lan' sont disponibles sur le serveur FreeIPA.
ipa host-find
Créez maintenant un nouveau groupe d'hôtes appelé « appserver ». Ensuite, ajoutez l'hôte 'client.hwdomain.lan' au groupe d'hôtes 'appserver'.
ipa hostgroup-add appserver
ipa hostgroup-add-member appserver --hosts=client.hwdomain.lan
Vérifiez le groupe d'hôtes détaillé « appserver » à l'aide de la commande ci-dessous. Vous devriez voir que l'hôte 'client.hwdomain.lan' est ajouté et disponible sur le groupe d'hôtes 'appserver'.
ipa hostgroup-show appserverCréation d'une règle HBAC (Host-Based Access Control)
Une fois le « serveur d'applications » du groupe d'hôtes créé, vous allez maintenant configurer la règle HBAC (Host-based Access Control) sur le serveur FreeIPA. Avec la règle HBAC, vous pouvez configurer et définir des politiques qui restreignent l'accès aux hôtes ou aux services en fonction de l'utilisateur qui tente de se connecter et des groupes de cet utilisateur, de l'hôte auquel il tente d'accéder (ou de ses groupes d'hôtes) et (éventuellement ) le service auquel vous accédez.
Dans cette section, vous allez désactiver la règle HBAC par défaut et configurer une règle HBAC personnalisée appelée « operation_admin » qui autorise l'utilisateur « max » ou le groupe « systemadmin' pour administrer tous les hôtes du groupe d'hôtes 'appserver' via SSH. De plus, cet utilisateur ou groupe pourra exécuter les commandes 'sudo' et 'sudo -l'.
Entrez la commande suivante pour désactiver la règle HBAC par défaut « allow_all ». Vérifiez ensuite les détails de la règle HBAC « allow_all ».
ipa hbacrule-disable allow_all
ipa hbacrule-show allow_allUne sortie 'Règle HBAC désactivée "allow_all" confirme que la règle est désactivée. De plus, dans la section « Enabled », vous devriez voir la valeur modifiée en « false ».
Avec la règle HBAC par défaut 'allow_all' désactivée, aucun utilisateur ne pourra se connecter à la machine client.
Ensuite, créez une nouvelle règle HBAC personnalisée appelée « operation_admin » à l'aide de la commande « ipa hbacrule-add » suivante.
ipa hbacrule-add operation_admin
Ajoutez maintenant le groupe d'hôtes 'appserver' via la commande 'ipa hbacrule-add-host' et le groupe d'utilisateurs 'sysadmin' via la commande 'ipa hbacrule-add-user' à la règle HBAC 'operation_admin'.
ipa hbacrule-add-host operation_admin --hostgroup appserver
ipa hbacrule-add-user operation_admin --group systemadmin
Ensuite, ajoutez des services tels que « sshd, sudo et su à la règle HBAC « operation_admin ». Tous les hôtes ou groupes d'hôtes au sein de la règle HBAC 'operation_admin' seront affectés et autorisés à accéder ou à exécuter ces commandes.
ipa hbacrule-add-service operation_admin --hbacsvcs=sshd
ipa hbacrule-add-service operation_admin --hbacsvcs=sudo --hbacsvcs=su-l
Vérifiez les détails de la règle HBAC 'operation_admin' à l'aide de la commande suivante. Vous devriez voir trois services 'sshd', 'sudo' et 'su-l' ajoutés et disponibles sur 'operation_admin '.
ipa hbacrule-show operation_admin
À ce stade, seuls les utilisateurs/groupes au sein de la règle « opération_admin » pourront se connecter à la machine client. L'utilisateur 'rocky' ne peut pas se connecter à la machine client 'client.hwdomain.lan', mais l'utilisateur 'max' peut se connecter au 'client. .hwdomain.lan'. En effet, l'utilisateur 'max' fait partie du groupe 'systemadmin', qui est appliqué à la règle HBAC 'operation_admin'.
Connectez-vous en tant qu'utilisateur 'rocky' qui sera défini par la machine client.
ssh [email La connexion en tant qu'utilisateur 'max' est autorisée car elle fait partie du groupe 'systemadmin'.
ssh [email 
Création d'une règle Sudo
Dans cette section, vous allez créer et configurer une nouvelle règle Sudo sur FreeIPA. Ensuite, vous attribuerez également cette règle Sudo au groupe spécifique « systemadmin » et au groupe hôte « appserver ».
Entrez la commande suivante pour ajouter une nouvelle règle Sudo appelée « systemadmin_sudo ». Dans cet exemple, vous créez une nouvelle règle sudo qui ne sera appliquée qu'à l'utilisateur et au groupe avec le paramètre '--runasusercat=all --runasgroupcat=all'. Avec cela, toutes les commandes ne peuvent pas être exécutées avec sudo ou en tant que root et cette règle peut être appliquée à des clients ou des hôtes spécifiques.
ipa sudorule-add systemadmin_sudo \
--runasusercat=all --runasgroupcat=all
Entrez maintenant la commande ci-dessous pour ajouter le groupe d'utilisateurs « systemdadmin » et le groupe d'hôtes « appserver » à la règle sudo « systemadmin_sudo ». Avec cela, le 'systemadmin_sudo' ne sera appliqué qu'aux utilisateurs du groupe 'systemadmin' et à la partie hôtes/clients du 'appserver'.
ipa sudorule-add-user systemadmin_sudo --group systemadmin
ipa sudorule-add-host systemadmin_sudo --hostgroup appserver
Création d'un groupe de commandes Sudo
Une fois la règle Sudo créée, vous allez maintenant configurer et définir le groupe de commandes Sudo sur FreeIPA. Avec cela, vous pouvez lier plusieurs commandes à un groupe de commandes Sudo spécifique, puis appliquer le groupe de commandes Sudo à la règle Sudo spécifique.
Pour cet exemple, vous définirez quelques commandes sur FreeIPA qui seront utilisées pour démarrer et redémarrer le service LEMP Stack. Ensuite, vous créerez un nouveau groupe de commandes Sudo appelé « systemadmin_cmds » et y ajouterez vos commandes. Enfin, vous attribuerez le groupe de commandes Sudo 'systemadmin_cmds' à la règle Sudo 'systemadmin_sudo'.
Entrez la commande suivante pour ajouter de nouvelles commandes au serveur FreeIPA. Dans cet exemple, vous ajouterez des commandes pouvant être utilisées pour gérer la pile LEMP. Vous pouvez démarrer et redémarrer les services Nginx, MariaDB et PHP-FPM.
ipa sudocmd-add "/usr/bin/systemctl start nginx"
ipa sudocmd-add "/usr/bin/systemctl restart nginx"
ipa sudocmd-add "/usr/bin/systemctl start php-fpm"
ipa sudocmd-add "/usr/bin/systemctl restart php-fpm"
ipa sudocmd-add "/usr/bin/systemctl start mariadb"
ipa sudocmd-add "/usr/bin/systemctl restart mariadb"
Ensuite, ajoutez un nouveau groupe de commandes sudo appelé 'systemadmin_cmds'. Ensuite, ajoutez toutes les commandes utilisées pour gérer la pile LEMP au groupe de commandes sudo 'systemadmin_cmds'.
ipa sudocmdgroup-add systemadmin_cmds
ipa sudocmdgroup-add-member systemadmin_cmds \
--sudocmds "/usr/bin/systemctl start nginx" \
--sudocmds "/usr/bin/systemctl restart nginx" \
--sudocmds "/usr/bin/systemctl start php-fpm" \
--sudocmds "/usr/bin/systemctl restart php-fpm" \
--sudocmds "/usr/bin/systemctl start mariadb" \
--sudocmds "/usr/bin/systemctl restart mariadb"Une sortie 'Ajout du groupe de commandes Sudo "systemdadmin_cmds"' confirme que le nouveau groupe de commandes sudo est créé. De plus, une sortie « Nombre de membres ajoutés 6 » confirme que vous avez ajouté 6 commandes au groupe de commandes sudo « systemdadmin_cmds ».
Enfin, entrez la commande suivante pour ajouter le groupe de commandes sudo 'systemadmin_cmds' à la règle sudo 'systemadmin_sudo'. Avec cela, les utilisateurs de la règle sudo 'systemadmin_sudo' pourront exécuter 6 commandes sudo disponibles sur le groupe de commandes sudo 'systemadmin_cmds'.
ipa sudorule-add-allow-command systemadmin_sudo --sudocmdgroups systemadmin_cmds
Vérifier l'intégration de Sudoers avec FreeIPA
Pour vérifier l'implémentation et l'intégration de Sudo avec FreeIPA dans ce scénario, vous vous connecterez au « client.hwdomain.lan » via le nouvel utilisateur « max ». Ensuite, vous exécuterez certaines des commandes qui seront utilisées pour gérer les services LEMP Stack.
Connectez-vous à client.hwdomain.lan avec l'utilisateur 'max' à l'aide de la commande ssh suivante. Saisissez le mot de passe lorsque vous y êtes invité.
ssh [email Après vous être connecté, entrez la commande suivante pour identifier votre utilisateur actuel. Vous verrez que vous êtes connecté en tant qu'utilisateur 'max'.
id
whoami
Ensuite, entrez la commande suivante pour redémarrer les services LEMP Stack. Lorsque vous y êtes invité, saisissez le mot de passe de l'utilisateur « max ». L'opération devrait réussir car l'utilisateur 'max' est autorisé à exécuter ces commandes en tant que 'sudo'.
sudo /usr/bin/systemctl restart nginx
sudo /usr/bin/systemctl restart php-fpm
sudo /usr/bin/systemctl restart mariadb
Maintenant, si vous essayez la commande 'systemctl stop', l'opération devrait échouer et vous aurez une erreur telle que 'Désolé, l'utilisateur max est maintenant autorisé à exécuter... en tant que root sur le client.hwdomain.lan'.
sudo /usr/bin/systemctl stop nginx
sudo /usr/bin/systemctl stop php-fpm
sudo /usr/bin/systemctl stop mariadb
Avec cela, vous avez maintenant terminé la configuration de Sudoers avec le serveur FreeIPA pour permettre d'exécuter des commandes spécifiques en tant que sudo ou en tant que root.
Conclusion
Ce tutoriel vous a appris comment intégrer Sudoers au serveur FreeIPA. Vous avez également appris quelques commandes de base de l'utilitaire 'ipa' pour gérer les utilisateurs, les groupes, le groupe d'hôtes, la règle sudo, la règle HBAC (Host-Based Access Control) et le groupe de commandes sudo. Vous avez appris l'intégration de base de Sudoers avec le serveur FreeIPA avec deux scénarios différents : autoriser les utilisateurs à exécuter sudo pour toutes les commandes et tous les hôtes et permettre aux utilisateurs d'exécuter sudo avec uniquement des commandes spécifiques sur des hôtes/clients spécifiques.
En plus de cela, vous avez également appris la configuration de base du service SSSD et l'avez intégré à Sudo via le serveur FreeIPA.
Avec cette implémentation Sudo, vous pouvez implémenter ces deux scénarios sur votre serveur de déploiement. Pour en savoir plus, visitez la documentation officielle de FreeIPA et Sudoer.