LDAP学习笔记之八：openLDAP sudo权限

1

2

3

4

5

6

7

8

9

sudoCommand:可执行的二进制命令，如 useradd、userdel、mount、umount等。sudoHost:可在哪些机器上执行sudoCommand定义的BASH命令。

sudoNotAfter:起始时间sudo规则匹配。

sudoNotBefore:结束时间sudo规则匹配。

sudoOption:定义超过自身权限及切换至其他用户时，是否需要输入当前用户密码。sudoOrder:sudo规则执行顺序，其属性是一个整数。

sudoRole:定义的规则。

sudoRunAs:可切换到定义的用户身份下执行BASH命令。

sudoRunAsGroup:可切换到定义所属组并具有该组的权限。

sudoRunAsUser:定义可切换至哪些用户下执行命令。

sudoUser:限制哪些用户或哪些组内的成员具有sudo相关规则。

1

2

3

4

5

6

7

8

9

10

11

12

13

[root@ldap01 ~]# rpm -ql sudo|grep schema.OpenLDAP

/usr/share/doc/sudo-1.8.23/schema.OpenLDAP

[root@ldap01 ~]# cp /usr/share/doc/sudo-1.8.23/schema.OpenLDAP /etc/openldap/schema/sudo.schema

[root@ldap01 ~]# cd /etc/openldap/schema/

[root@ldap01 schema]# restorecon sudo.schema

[root@ldap01 schema]# mkdir ~/sudo

[root@ldap01 schema]# echo 'include /etc/openldap/schema/sudo.schema' ~/sudo/sudoSchema.conf

[root@ldap01 schema]# slapcat -f ~/sudo/sudoSchema.conf -F /tmp/ -n0 -s "cn={0}sudo,cn=schema,cn=config" ~/sudo/sudo.ldif

[root@ldap01 schema]# sed -i "s/{0}sudo/{13}sudo/g" ~/sudo/sudo.ldif       #如果13不够可以用最大值100,后面会自动调整

[root@ldap01 schema]# head -n -8 ~/sudo/sudo.ldif ~/sudo/sudo-config.ldif  #删除structuralObjectClass及以下所有行

[root@ldap01 schema]# ldapadd -Y EXTERNAL -H ldapi:/// -f  ~/sudo/sudo-config.ldif

[root@ldap01 schema]# ls /etc/openldap/slapd.d/cn\=config  #查看openLDAP数据库目录中schema产生的文件，不难发现，当前目录多了一个关于 sudo 的配置文件 cn={13}sudo.ldif 文件

[root@ldap01 schema]# ldapsearch -LLLY EXTERNAL -H ldapi:/// -b "cn={13}sudo,cn=schema,cn=config"|grep NAME|awk '{print $4,$5}'|sort　#查看sudo schema支持的对象类型　

1

2

3

4

5

6

7

8

9

10

11

[root@ldap01 schema]# ldapadd -Y EXTERNAL -H ldapi:/// -f  ~/sudo/sudo-config.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn={12}sudo,cn=schema,cn=config"

ldap_add: Server is unwilling to perform (53)

    additional info: operation requires sibling renumbering

# 请修改 13 编号为其他数值，如果无法确定请查看目录下是否有重复的：

[root@ldap01 schema]# ls /etc/openldap/slapd.d/cn\=config/cn\=schema

cn={0}core.ldif       cn={11}pmi.ldif      cn={1}cosine.ldif  cn={3}collective.ldif  cn={5}duaconf.ldif   cn={7}inetorgperson.ldif  cn={9}misc.ldif

cn={10}openldap.ldif  cn={12}ppolicy.ldif  cn={2}nis.ldif     cn={4}corba.ldif       cn={6}dyngroup.ldif  cn={8}java.ldif

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

[root@ldap01 ~]# vim ~/sudo/duso_perm.ldif

dn: ou=sudoers,dc=ldap01,dc=pwb,dc=com     #将sudoers配置信息存放在ou=suders的子树中

objectclass: organizationalUnit

ou: sudoers

dn: cn=defaults,ou=sudoers,dc=ldap01,dc=pwb,dc=com #openLDAP首先会在子树中寻找cn=defaults条目，如果找到则所有dusoOption属性都会被解析为全局默认值  类似/etc/sudoers文件中的Defaults文件

objectClass: sudoRole

cn: defaults

description: Default sudoOption's go here

sudoOption: requiretty

sudoOption: !visiblepw

sudoOption: always_set_home

sudoOption: env_reset

sudoOption: env_keep="COLORS DISPLAY HOSTNAME HISTSIZE TNPUTRC KDEDIR LS COLORS"

sudoOption: env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"

sudoOption: env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"

sudoOption: env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"

sudoOption: env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"

sudoOption: secure_path=/sbin:/bin:/usr/sbin:/usr/bin

dn: cn=%dba,ou=sudoers,dc=ldap01,dc=pwb,dc=com  #定义DBA组，允许组内用户可以通过sudo命令切换到系统oracle和grid用户下，不需要密码

objectClass: sudoRole

cn: %dba

sudoUser: %dba

sudoHost: ALL

sudoRunAsUser: oracle

sudoRunAsUser: grid

sudoOption: !authenticate

sudoCommand:  /bin/bash

dn: cn=%app,ou=sudoers,dc=ldap01,dc=pwb,dc=com  #定义app组，允许组内可以sudo切换到系统appman用户下，不需要密码

objectClass: sudoRole

cn: %app

sudoUser: %app

sudoHost: ALL

sudoRunAsUser: appman

sudoOption: !authenticate

sudoCommand:/bin/bash

dn: cn=%admin,ou=sudoers,dc=ldap01,dc=pwb,dc=com #定义admin组，组内用户只能sudo执行允许的命令，其他越权命令不允许执行

objectClass: sudoRole

cn: %admin

sudoUser: %admin

sudoHost: ALL

sudoOption: authenticate

sudoCommand: /bin/rm

sudoCommand: /bin/rmdir

sudoCommand: /bin/chmod

sudoCommand: /bin/chown

sudoCommand: /bin/dd

sudoCommand: /bin/mv

sudoCommand: /bin/cp

sudoCommand: /sbin/fsck*

sudoCommand: /sbin/*remove

sudoCommand: /usr/bin/chattr

sudoCommand: /sbin/mkfs*

sudoCommand: !/usr/bin/passwd

sudoOrder: 0

dn: cn=%limit,ou=sudoers,dc=ldap01,dc=pwb,dc=com  #定义limit组，组内用户只能在limit.pwb.com机器上执行chattr命令，其他都不允许

objectClass: top

objectClass: sudoRole

cn:%limit

sudoCommand:/usr/bin/chattr

sudoHost: limit.pwb.com

sudoOption: !authenticate

sudoRunAsUser: ALL

sudoUser:%limitdn: cn=%manager,ou=sudoers,dc=ldap01,dc=pwb,dc=com #定义manager组，组内用户可以在任何主机上执行sudo命令，没有任何限制

objectClass: sudoRole

objectClass: top

cn: %manager

sudoUser: ALL

sudoHost: ALL

sudoCommand: ALL

sudoRunAsUser: ALL

sudoOption: !authenticate[root@ldap01 schema]# ldapadd -x -D cn=admin,dc=ldap01,dc=pwb,dc=com -W -f ~/sudo/duso_perm.ldif

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

[root@ldap01 ~]# vim ~/sudo/add_sudo_user.ldif

dn: cn=app,ou=Group,dc=ldap01,dc=pwb,dc=com

objectClass: posixGroup

cn: app

gidNumber: 10005

dn: cn=manager,ou=Group,dc=ldap01,dc=pwb,dc=com

objectClass: posixGroup

cn: manager

gidNumber: 10006

dn: uid=jboss,ou=People,dc=ldap01,dc=pwb,dc=com

objectClass: account

objectClass: posixAccount

objectClass: shadowAccount

cn: jboss

uid: jboss

uidNumber: 20006

gidNumber: 10005

userPassword: jboss

homeDirectory: /home/jboss

loginShell: /bin/bash

dn: uid=manager01,ou=People,dc=ldap01,dc=pwb,dc=com

objectClass: account

objectClass: posixAccount

objectClass: shadowAccount

cn: manager01

uid: manager01

uidNumber: 20007

gidNumber: 10006

userPassword: manager01

homeDirectory: /home/manager01

loginShell: /bin/bash

[root@ldap01 ~]#  ldapadd -x -D cn=admin,dc=ldap01,dc=pwb,dc=com -W -f ~/sudo/add_sudo_user.ldif

#如果想自定义用户和组条目可以在文件最上份定义，并将组及用户的ou替换即可

dn: ou=groups,dc=ldap01,dc=pwb,dc=com

ou: Group

objectClass: top

objectClass: organizationalUnit

dn: ou=peoples,dc=ldap01,dc=pwb,dc=com 

ou: People

objectClass: top

objectClass: organizationalUnit[root@ldap01 ~]# ldapsearch -x -LLL uid=jboss  #通过 ldapsearch 查看 jboss 用户及 app 组相关信息[root@ldap01 ~]# ldapsearch -x -LLL cn=app

1

2

3

4

5

6

7

[root@ldap01 ~]# cat << EOF | ldapadd -Y EXTERNAL -H ldapi:///

# Add indexes

dn: olcDatabase={2}hdb,cn=config

changetype:  modify

add: olcDbIndex

olcDbIndex: sudoUser eq

EOF　

1

2

3

[root@client01 ~]# yum install openldap-client nss-pam-ldapd openssh-ldap fprintd-pam -y

[root@client01 ~]# rpm -qi sudo |grep -i version

Version     : 1.8.23

1

2

3

[root@client01 log]# echo '192.168.1.131 ldap01.pwb.com ldap01' >> /etc/hosts

[root@client01 ~]#  authconfig --savebackup=openldap.bak #备份 authconfig --restorebackup=openldap.bak(还原)

[root@client01 ~]#  authconfig --enableldap --enableldapauth --enablemkhomedir --enableforcelegacy --disablesssd --disablesssdauth --disableldaptls --enablelocauthorize --ldapserver=ldap01.pwb.com --ldapbasedn="dc=ldap01,dc=pwb,dc=com" --enableshadow --update

1

2

3

4

[root@client01 ~]# cp /etc/nsswitch.conf /etc/nsswitch.conf.baks 

[root@client01 ~]# cat >> /etc/nsswitch.conf << EOF

> sudoers:    ldap files

> EOF

1

2

3

4

[root@client01 ~]# cat >> /etc/sudo-ldap.conf << EOF 

> SUDOERS_BASE ou=sudoers,dc=ldap01,dc=pwb,dc=com

> uri ldap://ldap01.pwb.com

> EOF

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

[root@client01 log]# ssh manager01@192.168.1.132  #192.168.1.132是客户端的机器IP

manager01@192.168.1.132's password:

Creating directory '/home/manager01'.

[manager01@client01 ~]$ sudo -l

匹配 %2$s 上 %1$s 的默认条目：

    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE TNPUTRC KDEDIR

    LS COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE\"", env_keep+="LC_COLLATE

    LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER

    LC_TELEPHONE", env keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",

    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, !visiblepw, always_set_home, match_group_by_gid,

    always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",

    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION

    LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",

    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",

    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 manager01 可以在 client01 上运行以下命令：

    (ALL) NOPASSWD: ALL

[manager01@client01 ~]$ sudo cat /etc/passwd   #验证 OpenLDAP 账号通过 sudo 提取系统用户权限

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin