База знаний
Войти

Команды и правила sudo

Команды и правила sudo играют важную роль в управлении правами доступа пользователей к выполнению административных задач. Команды sudo позволяют делегировать права администратора без необходимости предоставлять полный доступ к Системе.

Отображение списка доступных команд sudo

Просмотр списка доступных команд sudo возможен при наличии у пользователя прав на чтение команд sudo.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

Для отображения списка доступных команд sudo в интерфейсе командной строки используется команда вида:

$ ipa sudocmd-find [критерии] --[параметры] --[общие опции]

Для отображения конкретной команды sudo необходимо выполнить:

$ ipa sudocmd-show [имя_команды] [--all]

Для доступа ко всем командам sudo необходимо в графическом интерфейсе Dynamic Directory выбрать секцию "Политики sudo" и папку "Команды sudo". В правой панели будут отображены все доступные команды sudo, как показано на рисунке 104.

Рисунок 104 – Список доступных команд sudo

Создание, изменение и удаление команд sudo

Для выполнения операций пользователь должен иметь права на чтение, создание, изменение и удаление команд sudo.

Операция доступна через все интерфейсы Системы.

Штатный веб-интерфейс FreeIPA не позволяет управлять объектами политик.

В CLI создание, изменение, удаление команд sudo осуществляется с помощью команд вида:

$ ipa sudocmd_[add/mod/del/find/show] [имя_команды] --[параметры] --[общие опции]

С помощью графического интерфейса Dynamic Directory можно создать новую команду sudo. Для этого в контекстном меню необходимо выбрать пункт "Создать команду sudo", после чего откроется соответствующее окно для ввода первоначальных данных о команде sudo (рисунок 105).

Рисунок 105 – Окно создания команды sudo

После заполнения данных команды sudo необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены записи о политике.

Для изменения информации о команде sudo необходимо, находясь в папке "Команды sudo", в правой панели вызвать контекстное меню нужной команды и выбрать пункт "Свойства". В результате будет открыто соответствующее окно (рисунок 106).

Рисунок 106 – Окно изменения данных команды sudo

Кроме изменения основных атрибутов команды sudo, в этом окне доступна вкладка "Группы команд".

При переходе на вкладку "Группы команд" доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения команды sudo из групп (рисунок 107).

Рисунок 107 – Добавление команды sudo в группу

Удаление команд sudo производится с помощью выбора объекта в правой панели и последующего нажатия в панели инструментов пиктограммы (крест) или выбором из контекстного меню пункта "Удалить". Система выдаст запрос на подтверждение удаления объекта. После положительного ответа объект будет удален из Системы.

Создание, изменение и удаление групп с командами sudo

Операции возможны при наличии у пользователя прав на чтение, создание, изменение и удаление групп команд sudo.

Операция доступна через все интерфейсы Системы.

Штатный веб-интерфейс FreeIPA не позволяет управлять объектами политик.

В CLI создание, изменение и удаление групп команд sudo осуществляется с помощью команд вида:

$ ipa sudocmdgroup_add/mod/del [имя_группы_команд] --[параметры] --[общие опции]

С помощью графического интерфейса Dynamic Directory можно создать новую группу команд sudo. Для этого в контекстном меню необходимо выбрать пункт "Создать группу команд sudo". После этого откроется соответствующее окно для ввода первоначальных данных о группе команд sudo (рисунок 108).

Рисунок 108 – Окно создания группы команд sudo

После заполнения данных команды sudo необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены записи о группе команд sudo.

Для изменения информации о группе команд sudo необходимо, находясь в папке "Группы команд sudo", в правой панели вызвать контекстное меню нужной группы команд и выбрать пункт "Свойства", откроется соответствующее окно (рисунок 109).

Рисунок 109 – Окно изменения данных группы команд sudo

Кроме изменения основных атрибутов команды sudo, в данном окне доступна вкладка "Команды sudo".

При переходе на вкладку "Команды sudo" доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения команды sudo из группы (рисунок 110).

Рисунок 110 – Добавление команды sudo в группу

Удаление групп команд sudo производится с помощью выбора объекта в правой панели и последующего нажатия в панели инструментов пиктограммы (крест) или выбором из контекстного меню пункта "Удалить". Система выдаст запрос на подтверждение удаления объекта. После положительного ответа объект будет удален из Системы.

Включение и исключение команд sudo в группах

Операции возможны при наличии у пользователя прав на чтение, включение и исключение команд sudo в группах.

Операция доступна через все интерфейсы Системы.

Штатный веб-интерфейс FreeIPA не позволяет управлять объектами политик.

В CLI для этой операции используются команды вида:

  • для добавления команды sudo в группу:
$ ipa sudocmdgroup_add_member <имя группы команд sudo> --[параметры] --[общие опции]
  • для исключения команды sudo из группы:
$ ipa sudocmdgroup_remove_member <имя группы команд sudo> --[параметры] --[общие опции]

В графическом интерфейсе Dynamic Directory в левой части окна перейти к секции "Политики sudo" и выбрать папку "Команды sudo", содержащую все доступные команды sudo. В правой части панели списка перейти к команде и выбрать из контекстного меню пункт "Свойства". В окне "Свойства объекта" (рисунок 111) для добавления объекта в группу нужно перейти на вкладку "Группы команд" и нажать кнопку Добавить.

Рисунок 111 – Окно изменения данных команды sudo

В появившемся окне "Выбор объекта" можно задать имя группы для поиска, выбрать группу или несколько групп и нажать кнопку ОК в соответствии с рисунком 112. На вкладке "Группы команд" появится выбранная ранее группа.

Рисунок 112 – Выбор группы с командами sudo

Также объект можно добавить в группу, открыв папку "Группы команд sudo", и выбрав у группы команд sudo с помощью контекстного меню пункт "Свойства". Далее аналогично предыдущим действиям через окно "Выбор объекта" добавить команду в группу.

Для удаления команды sudo из перечня групп на вкладке "Группы команд" выбрать группу и нажать кнопку Удалить.

Создание, изменение и удаление правил sudo

Операция возможна при наличии у пользователя прав на чтение, создание, изменение и удаление правил sudo.

Операция доступна через все интерфейсы Системы.

Штатный веб-интерфейс FreeIPA не позволяет управлять объектами политик.

В CLI создание, изменение, удаление правил sudo осуществляется с помощью команд вида:

$ ipa sudorule_[add/mod/del] [имя_правила] --[параметры] --[общие опции]

С помощью графического интерфейса Dynamic Directory можно создать новое правило sudo. Для этого в контекстном меню необходимо выбрать пункт "Создать правило sudo". После этого откроется соответствующее окно для ввода первоначальных данных о правиле sudo (рисунок 113).

Рисунок 113 – Окно создания правила sudo

После заполнения данных правила sudo необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены записи о правиле sudo.

Для изменения информации о правиле sudo необходимо, находясь в папку "Правила sudo", в правой панели вызвать контекстное меню нужного правила и выбрать пункт "Свойства". Будет открыто соответствующее окно (рисунок 114). Во вкладке "Общие" можно изменить порядок применения правила, введя соответствующее значение: чем ниже порядок, тем выше приоритет.

Рисунок 114 – Окно изменения данных правила sudo

Кроме изменения основных атрибутов правила sudo, в данном окне доступны вкладки "Параметры", "Кто", "Где", "Что" и "От кого".

При переходе на вкладку "Параметры" доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения параметров из правила (рисунок 115).

Рисунок 115 – Добавление параметров в правило sudo

Описание вкладки "Кто" о назначении правил sudo доступно в п. Назначение правил sudo объектам службы каталогов.

При переходе на вкладку "Где" можно назначить компьютеры или группы компьютеров, на которых будет применяться правило. Во вкладке доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения объектов из правила (рисунок 116).

Рисунок 116 – Добавление компьютеров в правило sudo

При переходе на вкладку "Что" можно назначить команду или группы команд, входящих в правило sudo. Во вкладке доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения объектов из правила (рисунок 117).

Рисунок 117 – Добавление команд в правило sudo

При переходе на вкладку "От кого" можно назначить пользователя или группы пользователей, от имени которых будет назначаться правило. Во вкладке доступна дополнительная панель инструментов, на которой отображены три кнопки – Добавить пользователей, Добавить группы и Удалить – для добавления и исключения объектов из правила (рисунок 118).

Рисунок 118 – Добавление пользователей и групп пользователей в правило

Удаление правил sudo производится с помощью выбора объекта в правой панели и последующего нажатия в панели инструментов пиктограммы (крест) или выбором из контекстного меню пункта "Удалить". Система выдаст запрос на подтверждение удаления объекта. После положительного ответа объект будет удален из Системы.

Назначение правил sudo объектам службы каталогов

Операция возможна при наличии у пользователя прав на чтение, создание, изменение и удаление правил sudo.

Операция доступна через все интерфейсы Системы.

В CLI для назначения правила объекту службы каталогов выполняют команду вида:

$ ipa sudorule_add_user [имя_правила] --[параметры] --[общие опции]

Для отмены назначения правила объекту службы каталогов используют команду вида:

$ ipa sudorule_remove_user [имя_правила] --[параметры] --[общие опции]

В графическом интерфейсе Dynamic Directory в левой части окна следует перейти к секции "Политики sudo" и выбрать папку "Правила sudo", содержащую все доступные правила sudo. Затем в правой части панели списка перейти к правилу и выбрать из контекстного меню пункт "Свойства". В окне "Свойства объекта" (рисунок 119) для назначения правила объекту нужно открыть вкладку "Кто" и нажать кнопку Добавить.

Рисунок 119 – Назначение правил sudo объектам службы каталогов

В появившемся окне "Поиск объектов службы каталогов" нужно задать необходимые параметры для поиска, выбрать пользователя, группу пользователей или несколько групп и нажать кнопку ОК в соответствии с рисунком 120. На вкладке "Кто" появится выбранный ранее объект.

Рисунок 120 – Поиск объекта для назначения правила sudo

Для удаления объекта из перечня на вкладке "Кто" нужно выбрать пользователя, группу пользователей или несколько групп и нажать кнопку Удалить.