여러 sudoers 파일 업데이트

8

Active Directory 도메인을 인증하는 여러 Linux 서버가 있습니다. AD의 그룹의 경우 sudo를 사용하여 루트로 실행할 수있는 명령 목록을 추가하고 싶습니다. 분명히 각 컴퓨터에 ssh-in하고 sudoers 파일을 업데이트 할 수는 있지만 다소 시간이 걸립니다. 또한 루트 로그인이 허용되지 않습니다. 따라서 비밀번호가 적은 로그인은 루트가 아닌 사용자에게만 작동합니다.

각 Linux 컴퓨터의 sudoers 파일을 한 번에 업데이트하는 빠른 방법이 있습니까? 여기에 일부 시스템 관리 기능이있는 Perl 또는 Python 스크립트가 있습니다.

업데이트 : veroteq7과 Shane Madden에게 감사드립니다. 한 시점에서 cfengine을 배포하는 것에 대해 생각했지만 현재 실행되고 있지 않습니다. 우리는 LDAP를 사용하는 것이 최선의 해결책이라고 결정했습니다. LDIF 스키마 스키마를 가져 오는 중 오류가 발생했습니다. sudo에 대한 ActiveDirectory입니다. 오류는 144 행의 "매개 변수가 올바르지 않습니다"입니다.

다음은 144 행 이상의 내용입니다.

dn: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: top
objectClass: classSchema
cn: sudoRole
distinguishedName: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
instanceType: 4
possSuperiors: container
possSuperiors: top
subClassOf: top
governsID: 1.3.6.1.4.1.15953.9.2.1
mayContain: sudoCommand
mayContain: sudoHost
mayContain: sudoOption
mayContain: sudoRunAs
mayContain: sudoRunAsUser
mayContain: sudoRunAsGroup
mayContain: sudoUser
rDNAttID: cn
showInAdvancedViewOnly: FALSE
adminDisplayName: sudoRole
adminDescription: Sudoer Entries
objectClassCategory: 1
lDAPDisplayName: sudoRole
name: sudoRole
schemaIDGUID:: SQn432lnZ0+ukbdh3+gN3w==
systemOnly: FALSE
objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,DC=X
defaultObjectCategory: CN=sudoRole,CN=Schema,CN=Configuration,DC=X

내가 사용한 명령은 다음과 같습니다.

ldifde -i -f schema.ActiveDirectory -c dc=X dc=DOMAINNAME,dc=LOCAL

업데이트 2 : 나는 새로운 질문을 만들었습니다 . 제안 해 주셔서 감사합니다.

sudo

— rchhe
소스

AD 스키마 수정 비트를 별도의 질문으로 게시해야 할 것입니다. LDAP 스키마를 수정하고 새 객체를 가져 오기 위해 수행해야하는 모든 AD 관련 항목에 대한 것은 아닙니다. 언더 데리러 것입니다 여기에 MS / AD 지도자의 많은 액티브 디렉토리 및 LDAP 태그

— voretaq7

16

왜 sudoers 상점으로 /etc/sudoersAD (LDAP) 를 폐기 하고 사용 하지 않습니까? -자세한 정보는 여기에 있습니다 .

이미 AD에 대해 인증 중이므로 이는 다음 논리적 단계 일 뿐이며 인증 및 권한 부여 를 처리 할 수있는 편리한 중앙 집중식 장소를 제공합니다 .

— voretaq7
소스

내가 기억할 수있는 한, 우리는 AD / Linux / winbind / PAM을 수행하고 AD 그룹을 추가 sudoers했습니다. 나는 이것을 어떻게 찾지 못했습니다. 대단한 +1.

— jscott

@jscott 큰 단점은 LDAP를 컴파일하지 않은 많은 sudo 패키지이므로 롤업해야 할 수도 있습니다. FreeBSD 포트에서 sudo를 빌드하고 있으며, pam_ldap에 대한 LDAP 의존성이 이미 있으므로 별다른 어려움이 없습니다. :-)

— voretaq7

15

구성 관리 도구는 어떻습니까? 꼭두각시 , 요리사 , CFEngine 등?

— 셰인 매든
소스

3

sudoers에서 그룹을 정의하고 Active Directory와 같은 중앙 인증 저장소에서 해당 그룹을 가져올 수 있습니다. 도메인 관리자를 sudoers 파일에 넣는 것을 좋아합니다. 많은 두통을 저장합니다.

— 컴 위즈
소스

2

sudoers 파일을 수정하기 위해 API를 검색하는 경우 Sudoers 렌즈와 함께 Augeas 를 사용할 수 있습니다 . Puppet 과 훌륭하게 통합되어 있지만 스크립트에 사용할 수도 있습니다 (많은 바인딩이 있습니다).

예를 들어이 답변 을 참조하십시오 .

— ph 아 핑크
소스

0

흠 !! 그 고통. 다른 방법으로는 cssh 명령을 사용하여 한 번에 여러 창을 열 수 있습니다. 작은 창 (흰색 빈 창)에 무언가를 입력하면 typring이 모든 창을 통해 전파되는 것을 볼 수 있습니다. suoders 파일을 백업하고 visudo 명령을 사용하여 sudoers를 업데이트하도록 명령합니다. sudoer 파일이 마음에 들지 않으면 visudo가 파일을 수정하라는 메시지를 표시합니다.

건배

— snc805
소스