āĻāĻ¤āĻŋāĻšāĻžāĻ¸āĻŋāĻāĻāĻžāĻŦā§, sudo āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻĨā§āĻā§ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋāĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ /etc/sudoers.d и visudo, āĻāĻŦāĻ āĻā§ āĻ āĻ¨ā§āĻŽā§āĻĻāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻŦāĻžāĻšāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ ~/.ssh/authorized_keys. āĻ¯āĻžāĻāĻšā§āĻ, āĻ āĻŦāĻāĻžāĻ āĻžāĻŽā§ āĻŦā§āĻĻā§āĻ§āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻžāĻĨā§ āĻā§āĻ¨ā§āĻĻā§āĻ°ā§āĻ¯āĻŧāĻāĻžāĻŦā§ āĻāĻ āĻ āĻ§āĻŋāĻāĻžāĻ°āĻā§āĻ˛āĻŋ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻžāĻ° āĻāĻā§āĻāĻž āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻŦāĻŋāĻāĻ˛ā§āĻĒ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§:
- āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻŽā§āĻ¨ā§āĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ - āĻŽāĻžāĻĨāĻž, āĻĒā§āĻ¤ā§āĻ˛, Ansible, āĻ˛āĻŦāĻŖ
- āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ + āĻāĻ¸āĻāĻ¸āĻĄāĻŋ
- āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻŦāĻ āĻŽā§āĻ¯āĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ˛ āĻĢāĻžāĻāĻ˛ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨āĻžāĻ° āĻāĻāĻžāĻ°ā§ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻŦāĻŋāĻā§āĻ¤āĻŋ
āĻāĻŽāĻžāĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻāĻ¤ āĻŽāĻ¤āĻžāĻŽāĻ¤, āĻā§āĻ¨ā§āĻĻā§āĻ°ā§āĻā§āĻ¤ āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻ°ā§āĻŦā§āĻ¤ā§āĻ¤āĻŽ āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻāĻŋ āĻāĻāĻ¨āĻ āĻāĻāĻāĻŋ āĻ¸āĻāĻŽāĻŋāĻļā§āĻ°āĻŖ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ + āĻāĻ¸āĻāĻ¸āĻĄāĻŋ. āĻāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻ° āĻ¸ā§āĻŦāĻŋāĻ§āĻž āĻšāĻ˛:
- āĻ¸āĻ¤ā§āĻ¯āĻŋāĻ āĻāĻāĻāĻŋ āĻāĻāĻ āĻā§āĻ¨ā§āĻĻā§āĻ°ā§āĻā§āĻ¤ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĨ¤
- āĻ āĻ§āĻŋāĻāĻžāĻ° āĻŦāĻŖā§āĻāĻ¨ āĻāĻŦā§āĻ¨ā§āĻā§ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻā§āĻˇā§āĻ ā§āĻ¤ā§ āĻāĻāĻāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻ¤ā§ āĻ¨ā§āĻŽā§ āĻāĻ¸ā§āĨ¤
- āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻāĻ¸ āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻā§āĻ āĻĒā§āĻ°āĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨āĨ¤
āĻāĻāĻā§āĻ° āĻ¸ā§āĻ¯ā§āĻāĻāĻŋ āĻŦāĻŋāĻļā§āĻˇāĻāĻžāĻŦā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻ¸āĻ°ā§āĻ āĻāĻ°āĻž āĻšāĻŦā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ + āĻāĻ¸āĻāĻ¸āĻĄāĻŋ āĻ
āĻ§āĻŋāĻāĻžāĻ° āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻŦā§āĻ¨ā§āĻā§ āĻāĻŦāĻ āĻ¸ā§āĻā§āĻ°ā§āĻ SSH āĻāĻāĻāĻŋ āĻāĻāĻ āĻ¸āĻāĻā§āĻ°āĻšāĻ¸ā§āĻĨāĻ˛ā§ āĻā§āĨ¤
āĻ¸ā§āĻ¤āĻ°āĻžāĻ, āĻšāĻ˛āĻāĻŋ āĻāĻ¤ā§āĻ¤ā§āĻāĻ¨āĻžāĻĒā§āĻ°ā§āĻŖ āĻ¨ā§āĻ°āĻŦāĻ¤āĻžāĻ¯āĻŧ āĻ¨āĻŋāĻĨāĻ° āĻšāĻ¯āĻŧā§ āĻā§āĻ˛, āĻāĻ¨ā§āĻĄāĻžāĻā§āĻāĻ° āĻ¤āĻžāĻ° āĻ˛āĻžāĻ āĻŋ āĻ¤ā§āĻ˛āĻ˛, āĻāĻŦāĻ āĻ
āĻ°ā§āĻā§āĻ¸ā§āĻā§āĻ°āĻž āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤ āĻšāĻ˛āĨ¤
āĻ¯āĻžāĻāĻ¯āĻŧāĻž.
āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ˛ā§
- āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻĄā§āĻŽā§āĻ¨ testopf.local āĻāĻāĻ¨ā§āĻĄā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° 2012 R2 āĻāĨ¤
- āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻšā§āĻ¸ā§āĻ āĻ¸ā§āĻ¨ā§āĻā§āĻ¸ 7 āĻāĻžāĻ˛āĻžāĻā§āĻā§
- āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ
āĻ¨ā§āĻŽā§āĻĻāĻ¨ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻāĻ¸āĻāĻ¸āĻĄāĻŋ
āĻāĻāĻ¯āĻŧ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻ¸ā§āĻāĻŋāĻŽāĻž āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ, āĻ¤āĻžāĻ āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻžāĻ° āĻĒāĻ°āĻŋāĻŦā§āĻļā§ āĻ¸āĻŦāĻāĻŋāĻā§ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻŋ āĻāĻŦāĻ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻžāĻā§āĻ° āĻĒāĻ°āĻŋāĻāĻžāĻ āĻžāĻŽā§āĻ¤ā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻŋāĨ¤ āĻāĻŽāĻŋ āĻ¨ā§āĻ āĻāĻ°āĻ¤ā§ āĻāĻžāĻ āĻ¯ā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨āĻā§āĻ˛āĻŋ āĻ˛āĻā§āĻˇā§āĻ¯ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻĒā§āĻ°āĻā§āĻ¤āĻĒāĻā§āĻˇā§, āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻāĻŦāĻ āĻļā§āĻ°ā§āĻŖā§āĻā§āĻ˛āĻŋ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨ā§ˇ
āĻ ā§āĻ¯āĻžāĻāĻļāĻ¨ 1: āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻŦā§āĻ¨ā§āĻā§ āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻā§āĻŽāĻŋāĻāĻž āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ.
āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ āĻĒā§āĻ°āĻ¸āĻžāĻ°āĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻāĻĒāĻ¨āĻžāĻā§ āĻ¸āĻ°ā§āĻŦāĻļā§āĻˇ āĻ°āĻŋāĻ˛āĻŋāĻ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(āĻāĻĒāĻ¨āĻžāĻ° āĻŽāĻžāĻ¨ āĻĒā§āĻ°āĻ¤āĻŋāĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻ¤ā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻž)
āĻā§āĻ˛āĻ¤ā§ adsiedit.msc āĻāĻŦāĻ āĻĄāĻŋāĻĢāĻ˛ā§āĻ āĻĒā§āĻ°āĻ¸āĻā§āĻā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°ā§āĻ¨:
āĻĄā§āĻŽā§āĻ¨ā§āĻ° āĻŽā§āĻ˛ā§ āĻāĻāĻāĻŋ āĻŦāĻŋāĻāĻžāĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨ sudoers. (āĻŦā§āĻ°ā§āĻā§āĻ¯āĻŧāĻžāĻ°āĻž āĻāĻāĻā§āĻāĻ¯āĻŧā§āĻāĻžāĻŦā§ āĻĻāĻžāĻŦāĻŋ āĻāĻ°ā§ āĻ¯ā§ āĻāĻ āĻāĻāĻ¨āĻŋāĻā§āĻ āĻ°āĻžāĻā§āĻˇāĻ¸ āĻāĻ¸āĻāĻ¸āĻĄāĻŋ āĻāĻāĻāĻŋ āĻāĻāĻā§āĻŽ āĻāĻ¨ā§āĻ¯ āĻ
āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ sudoRole āĻŦāĻ¸ā§āĻ¤ā§ āĻ¯āĻžāĻāĻšā§āĻ, āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤ āĻĄāĻŋāĻŦāĻžāĻāĻŋāĻ āĻāĻžāĻ˛ā§ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§ āĻāĻŦāĻ āĻ˛āĻāĻā§āĻ˛āĻŋ āĻ
āĻ§ā§āĻ¯āĻ¯āĻŧāĻ¨ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§, āĻāĻāĻŋ āĻĒā§āĻ°āĻāĻžāĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻ¯ā§ āĻ
āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨āĻāĻŋ āĻĒā§āĻ°ā§ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻāĻžāĻ āĻā§āĻĄāĻŧā§ āĻ¸āĻā§āĻāĻžāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤)
āĻāĻŽāĻ°āĻž āĻŦāĻŋāĻāĻžāĻā§ āĻā§āĻ˛āĻžāĻ¸ā§āĻ° āĻ
āĻ¨ā§āĻ¤āĻ°ā§āĻāĻ¤ āĻĒā§āĻ°āĻĨāĻŽ āĻ
āĻŦāĻā§āĻā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŋ sudoRole. āĻ¨āĻžāĻŽāĻāĻŋ āĻāĻā§āĻŦāĻžāĻ°ā§ āĻ¨āĻŋāĻ°ā§āĻŦāĻŋāĻāĻžāĻ°ā§ āĻŦā§āĻā§ āĻ¨ā§āĻāĻ¯āĻŧāĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻāĻžāĻ°āĻŖ āĻāĻāĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻāĻ¨āĻ āĻ¸āĻ¨āĻžāĻā§āĻ¤āĻāĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻžāĻ āĻāĻ°ā§āĨ¤
āĻ¸ā§āĻāĻŋāĻŽāĻž āĻāĻā§āĻ¸āĻā§āĻ¨āĻļāĻ¨ āĻĨā§āĻā§ āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻāĻĒāĻ˛āĻŦā§āĻ§ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§, āĻĒā§āĻ°āĻ§āĻžāĻ¨āĻā§āĻ˛āĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤āĻā§āĻ˛āĻŋ āĻšāĻ˛:
- sudoCommand â āĻšā§āĻ¸ā§āĻā§ āĻā§āĻ¨ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻŦā§ āĻ¤āĻž āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§āĨ¤
- sudoHost â āĻāĻ āĻā§āĻŽāĻŋāĻāĻž āĻā§āĻ¨ āĻšā§āĻ¸ā§āĻā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¯ āĻ¤āĻž āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§āĨ¤ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¸āĻŦ, āĻāĻŦāĻ āĻ¨āĻžāĻŽā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¸ā§āĻŦāĻ¤āĻ¨ā§āĻ¤ā§āĻ° āĻšā§āĻ¸ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯āĨ¤ āĻŽāĻžāĻ¸ā§āĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ āĻ¸āĻŽā§āĻāĻŦāĨ¤
- sudo āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ â āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§āĻ¨ āĻā§āĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻāĻā§ āĻāĻŦā§āĻ¨ā§āĻā§.
āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻā§āĻ°ā§āĻĒ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°ā§āĻ¨, āĻ¤āĻžāĻšāĻ˛ā§ āĻ¨āĻžāĻŽā§āĻ° āĻļā§āĻ°ā§āĻ¤ā§ āĻāĻāĻāĻŋ "%" āĻāĻŋāĻšā§āĻ¨ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨āĨ¤ āĻā§āĻ°ā§āĻĒā§āĻ° āĻ¨āĻžāĻŽā§ āĻ¸ā§āĻĒā§āĻ¸ āĻĨāĻžāĻāĻ˛ā§ āĻāĻŋāĻ¨ā§āĻ¤āĻžāĻ° āĻāĻŋāĻā§ āĻ¨ā§āĻāĨ¤ āĻ˛āĻ āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦāĻŋāĻāĻžāĻ° āĻāĻ°ā§, āĻ¸ā§āĻĒā§āĻ¸ āĻĒāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻžāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¨ā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧ āĻāĻ¸āĻāĻ¸āĻĄāĻŋ.
āĻāĻŋāĻ¤ā§āĻ° 1. āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻ°ā§āĻā§ sudoers āĻ¸āĻžāĻŦāĻĄāĻŋāĻāĻŋāĻļāĻ¨ā§ sudoRole āĻ
āĻŦāĻā§āĻā§āĻ
āĻāĻŋāĻ¤ā§āĻ° 2. sudoRole āĻ
āĻŦāĻā§āĻā§āĻā§ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻā§āĻˇā§āĻ ā§āĻ° āĻ¸āĻĻāĻ¸ā§āĻ¯āĻĒāĻĻāĨ¤
āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻ¸ā§āĻāĻāĻĒāĻāĻŋ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ā§āĻ° āĻĒāĻžāĻļā§ āĻ¸āĻŽā§āĻĒāĻ¨ā§āĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤
āĻĢāĻžāĻāĻ˛ā§ /etc/nsswitch.conf āĻĢāĻžāĻāĻ˛ā§āĻ° āĻļā§āĻˇā§ āĻ˛āĻžāĻāĻ¨ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨:
sudoers: files sss
āĻĢāĻžāĻāĻ˛ā§ /etc/sssd/sssd.conf āĻŦāĻŋāĻāĻžāĻā§ [āĻāĻ¸āĻāĻ¸āĻāĻ¸āĻĄāĻŋ] āĻ¸ā§āĻŦāĻž āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨ āĻāĻŦā§āĻ¨ā§āĻā§
cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo
āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ā§āĻ° āĻĒāĻ°ā§, āĻāĻĒāĻ¨āĻžāĻā§ sssd āĻĄā§āĻŽāĻ¨ āĻā§āĻ¯āĻžāĻļā§ āĻ¸āĻžāĻĢ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻĒāĻĄā§āĻ āĻĒā§āĻ°āĻ¤āĻŋ 6 āĻāĻ¨ā§āĻāĻž āĻšāĻ¯āĻŧ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¯āĻāĻ¨ āĻāĻŽāĻ°āĻž āĻāĻāĻ¨ āĻāĻāĻŋ āĻāĻžāĻ āĻ¤āĻāĻ¨ āĻā§āĻ¨ āĻāĻŽāĻ°āĻž āĻāĻ¤ āĻĻā§āĻ°ā§āĻ āĻ āĻĒā§āĻā§āĻˇāĻž āĻāĻ°āĻŦ?
sss_cache -E
āĻāĻāĻŋ āĻĒā§āĻ°āĻžāĻ¯āĻŧāĻ āĻāĻā§ āĻ¯ā§ āĻā§āĻ¯āĻžāĻļā§ āĻ¸āĻžāĻĢ āĻāĻ°āĻž āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ āĻāĻ°ā§ āĻ¨āĻžāĨ¤ āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻŽāĻ°āĻž āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻŦāĻ¨ā§āĻ§ āĻāĻ°āĻŋ, āĻĄāĻžāĻāĻžāĻŦā§āĻ¸ āĻĒāĻ°āĻŋāĻˇā§āĻāĻžāĻ° āĻāĻ°āĻŋ āĻāĻŦāĻ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻļā§āĻ°ā§ āĻāĻ°āĻŋāĨ¤
service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start
āĻāĻŽāĻ°āĻž āĻĒā§āĻ°āĻĨāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°āĻŋ āĻāĻŦāĻ sudo āĻāĻ° āĻ āĻ§ā§āĻ¨ā§ āĻ¤āĻžāĻ° āĻāĻžāĻā§ āĻā§ āĻāĻĒāĻ˛āĻŦā§āĻ§ āĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻŋ:
su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user1 may run the following commands on testsshad:
(root) /usr/bin/ls, /usr/bin/cat
āĻāĻŽāĻ°āĻž āĻāĻŽāĻžāĻĻā§āĻ° āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻ āĻāĻžāĻ āĻāĻ°āĻŋ:
su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user2 may run the following commands on testsshad:
(root) ALL
āĻāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻāĻŋ āĻāĻĒāĻ¨āĻžāĻā§ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻā§āĻˇā§āĻ ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸ā§āĻĄā§ āĻā§āĻŽāĻŋāĻāĻž āĻā§āĻ¨ā§āĻĻā§āĻ°ā§āĻ¯āĻŧāĻāĻžāĻŦā§ āĻ¸āĻāĻā§āĻāĻžāĻ¯āĻŧāĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧāĨ¤
āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ ssh āĻā§āĻā§āĻ˛āĻŋ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻŦāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž
āĻ¸ā§āĻāĻŋāĻŽā§āĻ° āĻ¸āĻžāĻŽāĻžāĻ¨ā§āĻ¯ āĻ¸āĻŽā§āĻĒā§āĻ°āĻ¸āĻžāĻ°āĻŖā§āĻ° āĻ¸āĻžāĻĨā§, āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋāĻ¤ā§ ssh āĻā§āĻā§āĻ˛āĻŋ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻāĻŦāĻ Linux āĻšā§āĻ¸ā§āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ āĻ¨ā§āĻŽā§āĻĻāĻ¨ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻ¸ā§āĻā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦāĨ¤
sssd āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ
āĻ¨ā§āĻŽā§āĻĻāĻ¨ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻāĻŦāĻļā§āĻ¯āĻāĨ¤
āĻāĻāĻāĻŋ PowerShell āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨āĨ¤
AddsshPublicKeyAttribute.ps1āĻĢāĻžāĻāĻļāĻ¨ āĻ¨āĻ¤ā§āĻ¨-āĻ
ā§āĻ¯āĻžāĻā§āĻ°āĻŋāĻŦāĻŋāĻāĻāĻāĻāĻĄāĻŋ {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::āĻĒāĻžāĻ°ā§āĻ¸($guid.SubString(0,4),"AllowHexSpecifier")
$Parts+=[UInt64]::āĻĒāĻžāĻ°ā§āĻ¸($guid.SubString(4,4),"AllowHexSpecifier")
$Parts+=[UInt64]::āĻĒāĻžāĻ°ā§āĻ¸($guid.SubString(9,4),"AllowHexSpecifier")
$Parts+=[UInt64]::āĻĒāĻžāĻ°ā§āĻ¸($guid.SubString(14,4),"AllowHexSpecifier")
$Parts+=[UInt64]::āĻĒāĻžāĻ°ā§āĻ¸($guid.SubString(19,4),"AllowHexSpecifier")
$Parts+=[UInt64]::āĻĒāĻžāĻ°ā§āĻ¸($guid.SubString(24,6),"AllowHexSpecifier")
$Parts+=[UInt64]::āĻĒāĻžāĻ°ā§āĻ¸($guid.SubString(30,6),"AllowHexSpecifier")
$oid=[String]::Format(ÂĢ{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}Âģ,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE).schemaNamingContext
$oid = āĻ¨āĻ¤ā§āĻ¨-āĻ
ā§āĻ¯āĻžāĻā§āĻ°āĻŋāĻŦāĻŋāĻāĻ āĻāĻāĻĄāĻŋ
$attributes = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH āĻ˛āĻāĻāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻžāĻ° āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§';
}
āĻ¨āĻ¤ā§āĻ¨-ADObject -āĻ¨āĻžāĻŽ sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | āĻ¸ā§āĻ-ADObject -āĻ
ā§āĻ¯āĻžāĻĄ @{mayContain = 'sshPublicKey'}
āĻ
ā§āĻ¯āĻžāĻā§āĻ°āĻŋāĻŦāĻŋāĻāĻ āĻ¯ā§āĻ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§, āĻāĻĒāĻ¨āĻžāĻā§ āĻ
āĻŦāĻļā§āĻ¯āĻ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻĄā§āĻŽā§āĻ¨ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻā§āĻ˛āĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻžāĻ˛ā§ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤
āĻāĻ˛ā§āĻ¨ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻĻāĻŋāĻā§ āĻāĻāĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻāĻ¯āĻŧāĻž āĻ¯āĻžāĻāĨ¤ āĻāĻŽāĻ°āĻž āĻāĻĒāĻ¨āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻāĻ¨āĻ āĻ¯ā§āĻā§āĻ¨ā§ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ ssh āĻ¸āĻāĻ¯ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻā§ āĻā§āĻĄāĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŦāĨ¤
āĻāĻŽāĻ°āĻž āĻĒā§āĻāĻŋāĻā§āĻ¨ āĻāĻžāĻ˛ā§ āĻāĻ°āĻŋ, "āĻā§āĻ¨āĻžāĻ°ā§āĻ" āĻŦā§āĻ¤āĻžāĻŽ āĻāĻŋāĻĒā§āĻ¨ āĻāĻŦāĻ āĻāĻžāĻ˛āĻŋ āĻāĻžāĻ¯āĻŧāĻāĻžāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻŽāĻžāĻāĻ¸āĻāĻŋāĻā§ āĻāĻ¨ā§āĻŽāĻ¤ā§āĻ¤āĻāĻžāĻŦā§ āĻ¸āĻ°āĻžāĻ¨āĨ¤
āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°ā§, āĻāĻŽāĻ°āĻž āĻ¸āĻ°ā§āĻŦāĻāĻ¨ā§āĻ¨ āĻāĻŦāĻ āĻŦā§āĻ¯āĻā§āĻ¤āĻŋāĻāĻ¤ āĻā§āĻā§āĻ˛āĻŋ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŋ, āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ā§ āĻ¸āĻ°ā§āĻŦāĻāĻ¨ā§āĻ¨ āĻā§ āĻāĻĒāĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŋ āĻāĻŦāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻāĻĒāĻā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŋāĨ¤ āĻ¯āĻžāĻāĻšā§āĻ, āĻ¸āĻ°ā§āĻŦāĻāĻ¨ā§āĻ¨ āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ "OpenSSH authorized_keys āĻĢāĻžāĻāĻ˛ā§ āĻāĻāĻāĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻ°ā§āĻŦāĻāĻ¨ā§āĻ¨ āĻā§:"āĨ¤
āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ā§ āĻā§ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨āĨ¤
āĻŦāĻŋāĻāĻ˛ā§āĻĒ 1 - GUI:
āĻŦāĻŋāĻāĻ˛ā§āĻĒ 2 - āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ°āĻļā§āĻ˛:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
āĻ¸ā§āĻ¤āĻ°āĻžāĻ, āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻžāĻā§ āĻ°āĻ¯āĻŧā§āĻā§: sshPublicKey āĻ
ā§āĻ¯āĻžāĻā§āĻ°āĻŋāĻŦāĻŋāĻāĻ āĻ¸āĻš āĻāĻāĻāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§, āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ
āĻ¨ā§āĻŽā§āĻĻāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻĒā§āĻāĻŋ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻāĨ¤ āĻāĻāĻāĻŋ āĻā§āĻ āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻ āĻ°āĻ¯āĻŧā§ āĻā§āĻā§: āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋ āĻĨā§āĻā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ āĻŦā§āĻ° āĻāĻ°āĻ¤ā§ sshd āĻĄā§āĻŽāĻ¨āĻā§ āĻā§āĻāĻžāĻŦā§ āĻŦāĻžāĻ§ā§āĻ¯ āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻŦā§āĻ°ā§āĻā§āĻ¯āĻŧāĻž āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻā§ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻāĻāĻāĻŋ āĻā§āĻ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻāĻāĻŋ āĻŽā§āĻāĻžāĻŦā§āĻ˛āĻž āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'
āĻāĻŽāĻ°āĻž āĻ°ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻŋāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ 0500 āĻ¸ā§āĻ āĻāĻ°ā§āĻāĻŋāĨ¤
chmod 0500 /usr/local/bin/fetchSSHKeysFromLDAP
āĻāĻ āĻāĻĻāĻžāĻšāĻ°āĻŖā§, āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻļāĻžāĻ¸āĻ āĻ
ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ āĻāĻŦāĻĻā§āĻ§ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻ¯ā§āĻĻā§āĻ§ā§āĻ° āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ¤ā§ āĻ¨ā§āĻ¯ā§āĻ¨āĻ¤āĻŽ āĻ
āĻ§āĻŋāĻāĻžāĻ°ā§āĻ° āĻ¸ā§āĻ āĻ¸āĻš āĻāĻāĻāĻŋ āĻĒā§āĻĨāĻ āĻ
ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻĨāĻžāĻāĻ¤ā§ āĻšāĻŦā§āĨ¤
āĻ
āĻ§āĻŋāĻāĻžāĻ° āĻ¸ā§āĻ āĻĨāĻžāĻāĻž āĻ¸āĻ¤ā§āĻ¤ā§āĻŦā§āĻ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻā§ āĻŦāĻŋāĻļā§āĻĻā§āĻ§ āĻāĻāĻžāĻ°ā§ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄā§āĻ° āĻŽā§āĻšā§āĻ°ā§āĻ¤āĻāĻŋ āĻĻā§āĻā§ āĻāĻŽāĻŋ āĻŦā§āĻ¯āĻā§āĻ¤āĻŋāĻāĻ¤āĻāĻžāĻŦā§ āĻā§āĻŦ āĻŦāĻŋāĻā§āĻ°āĻžāĻ¨ā§āĻ¤ āĻāĻŋāĻ˛āĻžāĻŽāĨ¤
āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻŦāĻŋāĻāĻ˛ā§āĻĒ:
- āĻāĻŽāĻŋ āĻāĻāĻāĻŋ āĻĒā§āĻĨāĻ āĻĢāĻžāĻāĻ˛ā§ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻŋ:
echo -n Supersecretpassword > /usr/local/etc/secretpass
- āĻāĻŽāĻŋ āĻ°ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ 0500 āĻ¸ā§āĻ āĻāĻ°ā§āĻāĻŋ
chmod 0500 /usr/local/etc/secretpass
- ldapsearch āĻ˛āĻā§āĻ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻšāĻā§āĻā§: āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° -w superSecretPassword āĻāĻŽāĻŋ āĻāĻāĻž āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ -y/usr/local/etc/secretpass
āĻāĻāĻā§āĻ° āĻ¸ā§āĻ¯ā§āĻā§āĻ° āĻā§āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻā§āĻ¯āĻž āĻšāĻ˛ sshd_config āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨āĻž āĻāĻ°āĻž
cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root
āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻŽāĻ°āĻž ssh āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻā§ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻā§ āĻ āĻ¨ā§āĻŽā§āĻĻāĻ¨ āĻ¸āĻš āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻā§āĻ°āĻŽāĻāĻŋ āĻĒāĻžāĻ:
- āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻ¤āĻžāĻ° āĻ˛āĻāĻāĻ¨ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°ā§āĨ¤
- sshd āĻĄā§āĻŽāĻ¨, āĻāĻāĻāĻŋ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§, āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻāĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻĨā§āĻā§ āĻ¸āĻ°ā§āĻŦāĻāĻ¨ā§āĻ¨ āĻā§ āĻŽāĻžāĻ¨ āĻŦā§āĻ° āĻāĻ°ā§ āĻāĻŦāĻ āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ āĻ¨ā§āĻŽā§āĻĻāĻ¨ āĻāĻ°ā§āĨ¤
- sssd āĻĄā§āĻŽāĻ¨ āĻā§āĻ°ā§āĻĒ āĻ¸āĻĻāĻ¸ā§āĻ¯āĻ¤āĻžāĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻāĻ°āĻ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻāĻ°ā§āĨ¤ āĻŽāĻ¨ā§āĻ¯ā§āĻ! āĻ¯āĻĻāĻŋ āĻāĻāĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻ¨āĻž āĻĨāĻžāĻā§, āĻ¤āĻžāĻšāĻ˛ā§ āĻ¯ā§āĻā§āĻ¨ā§ āĻĄā§āĻŽā§āĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻšā§āĻ¸ā§āĻā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§āĨ¤
- āĻāĻĒāĻ¨āĻŋ āĻ¯āĻāĻ¨ sudo āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§āĻ¨, sssd āĻĄā§āĻŽāĻ¨ āĻā§āĻŽāĻŋāĻāĻžāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻ āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ āĻāĻ°ā§āĨ¤ āĻā§āĻŽāĻŋāĻāĻž āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤ āĻĨāĻžāĻāĻ˛ā§, āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻā§āĻŖāĻžāĻŦāĻ˛ā§ āĻāĻŦāĻ āĻā§āĻˇā§āĻ ā§ āĻ¸āĻĻāĻ¸ā§āĻ¯āĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻ¯āĻŧ (āĻ¯āĻĻāĻŋ sudoRoles āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻā§āĻˇā§āĻ ā§āĻā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ)
āĻĢāĻ˛āĻžāĻĢāĻ˛āĨ¤
āĻāĻāĻāĻžāĻŦā§, āĻā§āĻā§āĻ˛āĻŋ āĻ
ā§āĻ¯āĻžāĻā§āĻāĻŋāĻ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯, āĻ¸ā§āĻĄā§ āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧ - āĻāĻāĻāĻāĻžāĻŦā§, āĻĄā§āĻŽā§āĻ¨ āĻ
ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻāĻā§āĻ˛āĻŋāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻšā§āĻ¸ā§āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ
ā§āĻ¯āĻžāĻā§āĻāĻŋāĻ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻā§āĻ°ā§āĻĒā§ āĻ¸āĻĻāĻ¸ā§āĻ¯āĻ¤āĻž āĻ¯āĻžāĻāĻžāĻ āĻāĻ°ā§ āĻŦāĻžāĻšāĻŋāĻ¤ āĻšāĻ¯āĻŧāĨ¤
āĻāĻ¨ā§āĻĄāĻžāĻā§āĻāĻ°ā§āĻ° āĻ˛āĻžāĻ āĻŋāĻ° āĻļā§āĻˇ āĻĸā§āĻ - āĻāĻŦāĻ āĻšāĻ˛ āĻļā§āĻ°āĻĻā§āĻ§āĻžāĻ° āĻ¨ā§āĻ°āĻŦāĻ¤āĻžāĻ¯āĻŧ āĻāĻŽā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤
āĻ˛āĻŋāĻāĻŋāĻ¤āĻāĻžāĻŦā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻ¸āĻŽā§āĻĒāĻĻ:
āĻāĻ¤ā§āĻ¸: www.habr.com