SSSD-SUDO(5) Formatos de Ficheiros e Conven SSSD-SUDO(5) NAME sssd-sudo - Configurar sudo com o backend do SSSD DESCRICAO Este manual descreve como configurar sudo(8) para funcionar com o sssd(8) e como o SSSD poe em cache regras sudo. CONFIGURAR SUDO PARA COOPERAR COM O SSSD Para activar SSSD como fonte para regras sudo, adicione sss a entrada sudoers em nsswitch.conf(5). Por exemplo, para configurar o sudo para primeiro procurar no ficheiro sudoers(5) standard (o qual deve conter regras que se aplicam a utilizadores locais) e depois no SSSD, o ficheiro nsswitch.conf deve conter a seguinte linha: sudoers: files sss Mais informacao sobre a configuracao da ordem de procura de sudoers a partir do ficheiro nsswitch.conf assim como informacao acerca do esquema LDAP que e usado para guardar regras sudo no directorio pode ser encontrada em sudoers.ldap(5). Nota: de modo a usar netgroups ou hostgroups do IPA em regras sudo, voce tambem precisa de definir corretamente nisdomainname(1) ao seu nome de dominio NIS (o qual e igual ao nome de dominio IPA quando se usam hostgroups). CONFIGURAR SSSD PARA OBTER REGRAS SUDO Toda a configuracao que e necessaria no lado SSSD e estender a lista de services com "sudo" na seccao [sssd] de sssd.conf(5). Para acelerar as procuras LDAP, voce pode tambem definir uma base de busca para regras sudo usando a opcao ldap_sudo_search_base. O seguinte exemplo mostra como configurar o SSSD para descarregar regras sudo de um servidor LDAP. [sssd] services = nss, pam, sudo domains = EXAMPLE [domain/EXAMPLE] id_provider = ldap sudo_provider = ldap ldap_uri = ldap://example.com ldap_sudo_search_base = ou=sudoers,dc=example,dc=com E importante notar que em plataformas onde o systemd e suportado nao e preciso adicionar o provedor "sudo" A lista de servicos, pois isso torna-se opcional. No entanto, em vez disso o sssd-sudo.socket tem de ser activado. Quando o SSSD e configurado para usar IPA como provedor de ID, o provedor sudo e activado automaticamente. A base de busca do sudo e configurada para usar a arvore LDAP nativa do IPA (cn=sudo,$SUFFIX). Se qualquer outra base de busca for definida no sssd.conf, e este valor que sera usado. A arvore compat (ou=sudoers,$SUFFIX) nao e mais requerida para a funcionalidade sudo do IPA. O MECANISMO DE RECOLHA DE REGRA SUDO O maior desafio, ao se desenvolver suporte de sudo no SSSD, foi assegurar que correr o sudo com o SSSD como a fonte de dados providenciasse a mesma experiencia ao utilizador e fosse tao rapido como o sudo mas continuasse a fornecer o mais corrente conjunto de regras possivel. Para satisfazer estes requisitos, o SSSD usa tres tipos de actualizacoes. Elas sao referidas como full refresh, smart refresh e rules refresh. O smart refresh descarrega periodicamente regras que sao novas ou foram modificadas apos a ultima actualizacao. O seu objectivo primario e manter a base de dados a crescer ao obter apenas pequenos incrementos que nao geram grandes quantidades de trafego de rede. O full refresh simplesmente apaga todas as regras sudo guardadas na cache e substitui-as com todas as regras que estao guardadas no servidor. Isto e usado para manter a cache consistente ao remover qualquer regra que foi apagada no servidor. No entanto, o full refresh pode produzir muito trafego e assim so deve ser usado ocasionalmente dependendo do tamanho e estabilidade das regras sudo. O rules refresh assegura que nos nao concedemos ao utilizador mais permissoes que as definidas. E despoletado a cada vez que o utilizador corre o sudo. O refrescamento de regras ira encontrar todas as regras que se aplicam a este utilizador, verifica as suas datas de expiracao e re-descarrega-as se estiverem expiradas. No caso de qualquer uma dessas regras estiver em falta no servidor, o SSSD ira fazer refrescamento total de banda porque mais regras (que se apliquem a outros utilizadores) podem ter sido apagadas. Se activo, o SSSD ira guardar apenas regras que podem ser aplicadas a esta maquina. Isto significa regras que contem um dos seguintes valores no atributo sudoHost: o palavra chave ALL o wildcard o netgroup (no formato "+netgroup") o nome de maquina ou nome de dominio totalmente qualificado desta maquina o um dos enderecos IP desta maquina o um dos enderecos IP da rede (no formato "endereco/mascara") Existem muitas opcoes de configuracao que podem ser usadas para ajustar o comportamento. Por favor consulte "ldap_sudo_*" em sssd-ldap(5) e "sudo_*" em sssd.conf(5). AFINANDO A PERFORMANCE O SSSD usa diferentes tipos de mecanismos com filtros LDAP mais ou menos complexos para manter as regras sudo em cache actualizadas. A configuracao predefinida e definida para valores que devem satisfazer a maioria dos utilizadores, mas os seguintes paragrafos contem algumas dicas sobre como afinar a configuracao aos seus requerimentos. 1. Indexar atributos LDAP. Certifique que os seguintes atributos LDAP sao indexados: objectClass, cn, entryUSN ou modifyTimestamp. 2. Definir ldap_sudo_search_base. Definir a base de busca para o contentor que guarda as regras sudo para limitar o escopo da procura. 3. Definir intervalo de refrescamento full e smart. Se as suas regras sudo nao mudam com frequencia e voce nao requer actualizacoes rapidas ou regras em cache nos seus clientes, voce pode considerar aumentar ldap_sudo_full_refresh_interval e ldap_sudo_smart_refresh_interval. Voce pode tambem considerar desactivar o refrescamento smart ao definir ldap_sudo_smart_refresh_interval = 0. 4. Se voce tem um grande numero de clientes, voce pode considerar aumentar o valor de ldap_sudo_random_offset para distribuir melhor a carga no servidor. VEJA TAMBEM sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS O autor do SSSD - https://github.com/SSSD/sssd/ SSSD 01/18/2026 SSSD-SUDO(5)