'\" t .\" Title: sssd-sudo .\" Author: O autor do SSSD - https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 01/18/2026 .\" Manual: Formatos de Ficheiros e Convenções .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-SUDO" "5" "01/18/2026" "SSSD" "Formatos de Ficheiros e Conven" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-sudo \- Configurar sudo com o backend do SSSD .SH "DESCRIÇÃO" .PP Este manual descreve como configurar \fBsudo\fR(8) para funcionar com o \fBsssd\fR(8) e como o SSSD põe em cache regras sudo\&. .SH "CONFIGURAR SUDO PARA COOPERAR COM O SSSD" .PP Para activar SSSD como fonte para regras sudo, adicione \fIsss\fR à entrada \fIsudoers\fR em \fBnsswitch.conf\fR(5)\&. .PP Por exemplo, para configurar o sudo para primeiro procurar no ficheiro \fBsudoers\fR(5) standard (o qual deve conter regras que se aplicam a utilizadores locais) e depois no SSSD, o ficheiro nsswitch\&.conf deve conter a seguinte linha: .PP .if n \{\ .RS 4 .\} .nf sudoers: files sss .fi .if n \{\ .RE .\} .PP Mais informação sobre a configuração da ordem de procura de sudoers a partir do ficheiro nsswitch\&.conf assim como informação acerca do esquema LDAP que é usado para guardar regras sudo no directório pode ser encontrada em \fBsudoers.ldap\fR(5)\&. .PP \fINota\fR: de modo a usar netgroups ou hostgroups do IPA em regras sudo, você também precisa de definir corretamente \fBnisdomainname\fR(1) ao seu nome de domínio NIS (o qual é igual ao nome de domínio IPA quando se usam hostgroups)\&. .SH "CONFIGURAR SSSD PARA OBTER REGRAS SUDO" .PP Toda a configuração que é necessária no lado SSSD é estender a lista de \fIservices\fR com "sudo" na secção [sssd] de \fBsssd.conf\fR(5)\&. Para acelerar as procuras LDAP, você pode também definir uma base de busca para regras sudo usando a opção \fIldap_sudo_search_base\fR\&. .PP O seguinte exemplo mostra como configurar o SSSD para descarregar regras sudo de um servidor LDAP\&. .PP .if n \{\ .RS 4 .\} .nf [sssd] services = nss, pam, sudo domains = EXAMPLE [domain/EXAMPLE] id_provider = ldap sudo_provider = ldap ldap_uri = ldap://example\&.com ldap_sudo_search_base = ou=sudoers,dc=example,dc=com .fi .if n \{\ .RE .\} .sp É importante notar que em plataformas onde o systemd é suportado não é preciso adicionar o provedor "sudo" À lista de serviços, pois isso torna\-se opcional\&. No entanto, em vez disso o sssd\-sudo\&.socket tem de ser activado\&. .PP Quando o SSSD é configurado para usar IPA como provedor de ID, o provedor sudo é activado automaticamente\&. A base de busca do sudo é configurada para usar a árvore LDAP nativa do IPA (cn=sudo,$SUFFIX)\&. Se qualquer outra base de busca for definida no sssd\&.conf, é este valor que será usado\&. A árvore compat (ou=sudoers,$SUFFIX) não é mais requerida para a funcionalidade sudo do IPA\&. .SH "O MECANISMO DE RECOLHA DE REGRA SUDO" .PP O maior desafio, ao se desenvolver suporte de sudo no SSSD, foi assegurar que correr o sudo com o SSSD como a fonte de dados providenciasse a mesma experiência ao utilizador e fosse tão rápido como o sudo mas continuasse a fornecer o mais corrente conjunto de regras possível\&. Para satisfazer estes requisitos, o SSSD usa três tipos de actualizações\&. Elas são referidas como full refresh, smart refresh e rules refresh\&. .PP O \fIsmart refresh\fR descarrega periodicamente regras que são novas ou foram modificadas após a última actualização\&. O seu objectivo primário é manter a base de dados a crescer ao obter apenas pequenos incrementos que não geram grandes quantidades de tráfego de rede\&. .PP O \fIfull refresh\fR simplesmente apaga todas as regras sudo guardadas na cache e substitui\-as com todas as regras que estão guardadas no servidor\&. Isto é usado para manter a cache consistente ao remover qualquer regra que foi apagada no servidor\&. No entanto, o full refresh pode produzir muito tráfego e assim só deve ser usado ocasionalmente dependendo do tamanho e estabilidade das regras sudo\&. .PP O \fIrules refresh\fR assegura que nós não concedemos ao utilizador mais permissões que as definidas\&. É despoletado a cada vez que o utilizador corre o sudo\&. O refrescamento de regras irá encontrar todas as regras que se aplicam a este utilizador, verifica as suas datas de expiração e re\-descarrega\-as se estiverem expiradas\&. No caso de qualquer uma dessas regras estiver em falta no servidor, o SSSD irá fazer refrescamento total de banda porque mais regras (que se apliquem a outros utilizadores) podem ter sido apagadas\&. .PP Se activo, o SSSD irá guardar apenas regras que podem ser aplicadas a esta máquina\&. Isto significa regras que contêm um dos seguintes valores no atributo \fIsudoHost\fR: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} palavra chave ALL .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} wildcard .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} netgroup (no formato "+netgroup") .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} nome de máquina ou nome de domínio totalmente qualificado desta máquina .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} um dos endereços IP desta máquina .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} um dos endereços IP da rede (no formato "endereço/mascara") .RE .PP Existem muitas opções de configuração que podem ser usadas para ajustar o comportamento\&. Por favor consulte "ldap_sudo_*" em \fBsssd-ldap\fR(5) e "sudo_*" em \fBsssd.conf\fR(5)\&. .SH "AFINANDO A PERFORMANCE" .PP O SSSD usa diferentes tipos de mecanismos com filtros LDAP mais ou menos complexos para manter as regras sudo em cache actualizadas\&. A configuração predefinida é definida para valores que devem satisfazer a maioria dos utilizadores, mas os seguintes parágrafos contêm algumas dicas sobre como afinar a configuração aos seus requerimentos\&. .PP 1\&. \fIIndexar atributos LDAP\fR\&. Certifique que os seguintes atributos LDAP são indexados: objectClass, cn, entryUSN ou modifyTimestamp\&. .PP 2\&. \fIDefinir ldap_sudo_search_base\fR\&. Definir a base de busca para o contentor que guarda as regras sudo para limitar o escopo da procura\&. .PP 3\&. \fIDefinir intervalo de refrescamento full e smart\fR\&. Se as suas regras sudo não mudam com frequência e você não requer actualizações rápidas ou regras em cache nos seus clientes, você pode considerar aumentar \fIldap_sudo_full_refresh_interval\fR e \fIldap_sudo_smart_refresh_interval\fR\&. Você pode também considerar desactivar o refrescamento smart ao definir \fIldap_sudo_smart_refresh_interval = 0\fR\&. .PP 4\&. Se você tem um grande número de clientes, você pode considerar aumentar o valor de \fIldap_sudo_random_offset\fR para distribuir melhor a carga no servidor\&. .SH "VEJA TAMBÉM" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-idp\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(1), \fBsss_ssh_knownhosts\fR(1), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBO autor do SSSD \- https://github\&.com/SSSD/sssd/\fR