我很难在FreeIPA的模型中缠住我的头。 FreeIPA 手册指出:
FreeIPA增加了一个额外的控制措施与sudo命令组,允许一组命令被定义,然后作为一个应用到sudoconfiguration。
但是他们的例子基本上是讨论创build一个sudo命令组,然后在“files”sudo命令组中添加特定的 sudo命令,比如vim和less 。
例如从命令行:
ipa sudocmdgroup-add --desc 'File editing commands' files ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim' ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files
但是,如何在/ etc / sudoers中指定ALL ? 这可以通配(例如*)吗?
如果您希望一组用户能够使用sudo执行任何命令,则不需要创build命令组。 您只需要一个允许所有命令的sudo规则,并且在安装FreeIPA时默认情况下应该为您创build一个。
# ipa sudorule-find All ------------------- 1 Sudo Rule matched ------------------- Rule name: All Enabled: TRUE Host category: all Command category: all RunAs User category: all User Groups: admins ---------------------------- Number of entries returned 1 ----------------------------
(如果这样的规则不存在,创build它。)
ipa sudorule-add --cmdcat=all All
只需将用户或组添加到此sudo规则中,即可使用任何命令进行sudo 。
ipa sudorule-add-user --groups=admins All
如果您愿意,也可以从Web UI执行此操作。