SSSD-SUDO(5) Filformat och konventioner SSSD-SUDO(5) NAME sssd-sudo - Konfigurera sudo med SSSD-bakanden BESKRIVNING Denna manualsida beskriver hur man konfigurerar sudo(8) till att fungera med sssd(8) och hur SSSD cachar sudo-regler. KONFIGURERA SUDO ATT SAMARBETA MED SSSD For att aktivera SSSD som en kalla for sudo-regler, lagg till sss till posten sudoers i nsswitch.conf(5). Till exempel, for att konfigurera sudo till att forst sla upp regler i standardfilen sudoers(5) (som bor innehalla regler som galler for lokala anvandare) och sedan i SSSD, skall filen nsswitch.conf innehalla foljande rad: sudoers: files sss Mer information om att konfigurera sokordningen for sudoers fran filen nsswitch.conf liksom information om LDAP-schemat som anvands for att spara sudo-regler i katalogen finns i sudoers.ldap(5). Observera: for att anvanda natgrupper eller IPA-vardgrupper i sudo-regler behover man aven satta nisdomainname(1) korrekt till sitt NIS-domannamn (som ar samma som IPA-domannamnet nar vardgrupper anvands). KONFIGURERA SSSD TILL ATT HaMTA SUDO-REGLER All konfiguration som behovs pa SSSD-sidan ar att utoka listan over tjanster med "sudo" i avsnittet [sssd] i sssd.conf(5). For att snabba upp LDAP-uppslagningarna kan man aven satta sokbasen for sudo-regler med alternativet ldap_sudo_search_base. Foljande exempel visar hur man konfigurerar SSSD att hamta sudo-regler fran en LDAP-server. [sssd] config_file_version = 2 services = nss, pam, sudo domains = EXEMPEL [domain/EXEMPEL] id_provider = ldap sudo_provider = ldap ldap_uri = ldap://example.com ldap_sudo_search_base = ou=sudoers,dc=example,dc=com Det ar viktigt att observera att pa plattformar dar systemd stodjs finns det inget behov av att lagga till "sudo"-leverantoren till listan av tjanster, eftersom det blev frivilligt. Dock maste sssd-sudo.socket vara aktiverat istallet. Nar SSSD ar konfigurerat till att anvanda IPA som ID-leverantor aktiveras sudo-leverantoren automatiskt. Sudo-sokbasen konfigureras till att anvanda IPA:s egna LDAP-trad (cn=sudo,$SUFFIX). Om nagon annan sokbas ar definierad i sssd.conf kommer detta varde anvandas istallet. Kompatibilitetstradet (ou=sudoers,$SUFFIX) behovs inte langre for IPA-sudo-funktionalitet. CACHNINGS-MEKANISMEN FoR SUDO-REGLER Den storsta utmaningen vid utvecklingen av stod for sudo i SSSD var att sakerstalla att kora sudo med SSSD som datakalla ger samma anvandarupplevelse och ar lika snabbt som sudo men tillhandahaller de senaste reglerna sa mycket som mojligt. For att uppfylla dessa krav anvander SSSD tre sorters uppdateringar. De refereras till som fullstandig uppdatering, smart uppdatering och regeluppdatering. Den smarta uppdateringen hamtar periodiskt regler som ar nya eller andrades efter den senaste uppdateringen. Dess primara mal ar att se till att databasen vaxer genom att bara hamta sma inkrementella steg som inte genererar stora mangder med natverkstrafik. Den fullstandiga uppdateringen raderar helt enkelt alla sudo-regler som ar lagrade i cachen och ersatter dem med alla regler som ar sparade pa servern. Detta anvands for att halla cachen konsistent genom att ta bort varje regel som var raderad fran servern. Dock kan en fullstandig uppdatering skapa mycket trafik och den bor alltsa bara koras ibland beroende pa storleken och stabiliteten hos sudo-reglerna. Regeluppdateringen sakerstaller att vi inte ger anvandaren fler rattigheter an definierat. Den triggas varje gang anvandaren kor sudo. Regeluppdateringen kommer hitta alla regler som ar tillampliga pa den anvandaren, kontrollera deras utgangstidpunkt och hamta om dem om de gatt ut. Ifall att nagon av dessa regler saknas pa servern kommer SSSD gora en fullstandig uppdatering vid sidan av for att fler regler (som ar tillampliga pa andra anvandare) kan ha raderats. Om aktiverat kommer SSSD endast lagra regler som kan tillampas pa denna maskin. Detta betyder att regler som innehaller ett av foljande varden i attributet sudoHost: o nyckelordet ALL o jokertecken (wildcard) o natgrupp (i formen "+natgrupp") o vardnamn eller fullstandigt kvalificerat domannamn pa denna maskin o en av IP-adresserna till denna maskin o en av IP-adresserna till natverket (pa formen "adress/mask") Det finns manga konfigurationsalternativ som kan anvandas for att justera beteendet. Se "ldap_sudo_*" i sssd-ldap(5) och "sudo_*" i sssd.conf(5). TRIMNING AV PRESTANDAN SSSD anvander olika mekanismer med mer eller mindre komplexa LDAP-filter for att halla de cachade sudo-reglerna uppdaterade. Standardkonfigurationen ar satt till varden som skall passa de flesta av vara anvandare, men foljande stycken innehaller nagra tips om hur man kan finjustera konfigurationen for sina behov. 1. Indexera LDAP-attribut. Se till att foljande LDAP-attribut ar indexerade: objectClass, cn, entryUSN eller modifyTimestamp. 2. Satt ldap_sudo_search_base. Satt sokbasen till den behallare som innehaller sudo-reglerna for att begransa rackvidden for uppslagningen. 3. Satt fullt och smart uppdateringsintervall. Om ens sudo-regler inte andras ofta och man inte behover snabba uppdateringar av cachade regler pa sina klienter kan man avsevart oka ldap_sudo_full_refresh_interval och ldap_sudo_smart_refresh_interval. Man kan ocksa overvaga att avaktivera den smarta uppdateringen genom att satta ldap_sudo_smart_refresh_interval = 0. 4. Om man har ett stort antal klienter kan man overvaga att oka vardet pa ldap_sudo_random_offset for att fordela lasten pa servern battre. SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 04/09/2024 SSSD-SUDO(5)