'\" t .\" Title: sssd-sudo .\" Author: SSSD uppströms \(en https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 04/09/2024 .\" Manual: Filformat och konventioner .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-SUDO" "5" "04/09/2024" "SSSD" "Filformat och konventioner" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-sudo \- Konfigurera sudo med SSSD\-bakänden .SH "BESKRIVNING" .PP Denna manualsida beskriver hur man konfigurerar \fBsudo\fR(8) till att fungera med \fBsssd\fR(8) och hur SSSD cachar sudo\-regler\&. .SH "KONFIGURERA SUDO ATT SAMARBETA MED SSSD" .PP För att aktivera SSSD som en källa för sudo\-regler, lägg till \fIsss\fR till posten \fIsudoers\fR i \fBnsswitch.conf\fR(5)\&. .PP Till exempel, för att konfigurera sudo till att först slå upp regler i standardfilen \fBsudoers\fR(5) (som bör innehålla regler som gäller för lokala användare) och sedan i SSSD, skall filen nsswitch\&.conf innehålla följande rad: .PP .if n \{\ .RS 4 .\} .nf sudoers: files sss .fi .if n \{\ .RE .\} .PP Mer information om att konfigurera sökordningen för sudoers från filen nsswitch\&.conf liksom information om LDAP\-schemat som används för att spara sudo\-regler i katalogen finns i \fBsudoers.ldap\fR(5)\&. .PP \fIObservera\fR: för att använda nätgrupper eller IPA\-värdgrupper i sudo\-regler behöver man även sätta \fBnisdomainname\fR(1) korrekt till sitt NIS\-domännamn (som är samma som IPA\-domännamnet när värdgrupper används)\&. .SH "KONFIGURERA SSSD TILL ATT HäMTA SUDO\-REGLER" .PP All konfiguration som behövs på SSSD\-sidan är att utöka listan över \fItjänster\fR med \(rqsudo\(rq i avsnittet [sssd] i \fBsssd.conf\fR(5)\&. För att snabba upp LDAP\-uppslagningarna kan man även sätta sökbasen för sudo\-regler med alternativet \fIldap_sudo_search_base\fR\&. .PP Följande exempel visar hur man konfigurerar SSSD att hämta sudo\-regler från en LDAP\-server\&. .PP .if n \{\ .RS 4 .\} .nf [sssd] config_file_version = 2 services = nss, pam, sudo domains = EXEMPEL [domain/EXEMPEL] id_provider = ldap sudo_provider = ldap ldap_uri = ldap://example\&.com ldap_sudo_search_base = ou=sudoers,dc=example,dc=com .fi .if n \{\ .RE .\} .sp Det är viktigt att observera att på plattformar där systemd stödjs finns det inget behov av att lägga till \(rqsudo\(rq\-leverantören till listan av tjänster, eftersom det blev frivilligt\&. Dock måste sssd\-sudo\&.socket vara aktiverat istället\&. .PP När SSSD är konfigurerat till att använda IPA som ID\-leverantör aktiveras sudo\-leverantören automatiskt\&. Sudo\-sökbasen konfigureras till att använda IPA:s egna LDAP\-träd (cn=sudo,$SUFFIX)\&. Om någon annan sökbas är definierad i sssd\&.conf kommer detta värde användas istället\&. Kompatibilitetsträdet (ou=sudoers,$SUFFIX) behövs inte längre för IPA\-sudo\-funktionalitet\&. .SH "CACHNINGS\-MEKANISMEN FöR SUDO\-REGLER" .PP Den största utmaningen vid utvecklingen av stöd för sudo i SSSD var att säkerställa att köra sudo med SSSD som datakälla ger samma användarupplevelse och är lika snabbt som sudo men tillhandahåller de senaste reglerna så mycket som möjligt\&. För att uppfylla dessa krav använder SSSD tre sorters uppdateringar\&. De refereras till som fullständig uppdatering, smart uppdatering och regeluppdatering\&. .PP Den \fIsmarta uppdateringen\fR hämtar periodiskt regler som är nya eller ändrades efter den senaste uppdateringen\&. Dess primära mål är att se till att databasen växer genom att bara hämta små inkrementella steg som inte genererar stora mängder med nätverkstrafik\&. .PP Den \fIfullständiga uppdateringen\fR raderar helt enkelt alla sudo\-regler som är lagrade i cachen och ersätter dem med alla regler som är sparade på servern\&. Detta används för att hålla cachen konsistent genom att ta bort varje regel som var raderad från servern\&. Dock kan en fullständig uppdatering skapa mycket trafik och den bör alltså bara köras ibland beroende på storleken och stabiliteten hos sudo\-reglerna\&. .PP \fIRegeluppdateringen\fR säkerställer att vi inte ger användaren fler rättigheter än definierat\&. Den triggas varje gång användaren kör sudo\&. Regeluppdateringen kommer hitta alla regler som är tillämpliga på den användaren, kontrollera deras utgångstidpunkt och hämta om dem om de gått ut\&. Ifall att någon av dessa regler saknas på servern kommer SSSD göra en fullständig uppdatering vid sidan av för att fler regler (som är tillämpliga på andra användare) kan ha raderats\&. .PP Om aktiverat kommer SSSD endast lagra regler som kan tillämpas på denna maskin\&. Detta betyder att regler som innehåller ett av följande värden i attributet \fIsudoHost\fR: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} nyckelordet ALL .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} jokertecken (wildcard) .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} nätgrupp (i formen \(rq+nätgrupp\(rq) .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} värdnamn eller fullständigt kvalificerat domännamn på denna maskin .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} en av IP\-adresserna till denna maskin .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} en av IP\-adresserna till nätverket (på formen \(rqadress/mask\(rq) .RE .PP Det finns många konfigurationsalternativ som kan användas för att justera beteendet\&. Se \(rqldap_sudo_*\(rq i \fBsssd-ldap\fR(5) och \(rqsudo_*\(rq i \fBsssd.conf\fR(5)\&. .SH "TRIMNING AV PRESTANDAN" .PP SSSD använder olika mekanismer med mer eller mindre komplexa LDAP\-filter för att hålla de cachade sudo\-reglerna uppdaterade\&. Standardkonfigurationen är satt till värden som skall passa de flesta av våra användare, men följande stycken innehåller några tips om hur man kan finjustera konfigurationen för sina behov\&. .PP 1\&. \fIIndexera LDAP\-attribut\fR\&. Se till att följande LDAP\-attribut är indexerade: objectClass, cn, entryUSN eller modifyTimestamp\&. .PP 2\&. \fISätt ldap_sudo_search_base\fR\&. Sätt sökbasen till den behållare som innehåller sudo\-reglerna för att begränsa räckvidden för uppslagningen\&. .PP 3\&. \fISätt fullt och smart uppdateringsintervall\fR\&. Om ens sudo\-regler inte ändras ofta och man inte behöver snabba uppdateringar av cachade regler på sina klienter kan man avsevärt öka \fIldap_sudo_full_refresh_interval\fR och \fIldap_sudo_smart_refresh_interval\fR\&. Man kan också överväga att avaktivera den smarta uppdateringen genom att sätta \fIldap_sudo_smart_refresh_interval = 0\fR\&. .PP 4\&. Om man har ett stort antal klienter kan man överväga att öka värdet på \fIldap_sudo_random_offset\fR för att fördela lasten på servern bättre\&. .SH "SE ÄVEN" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-files\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(8), \fBsss_ssh_knownhostsproxy\fR(8), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBSSSD uppströms \(en https://github\&.com/SSSD/sssd/\fR