Sudo ldap avec FQDN au lieu du nom d'hôte court

Sur mon lieu de travail, nous utilisons sudo-ldap pour fournir des privilèges sudo sur le réseau à partir d'un magasin centralisé. Nous le faisons en fonction du nom d'user plus le nom d'hôte qu'ils exécutent sur, par exemple:

sudoHost: foo1 sudoUser: user1 

Je veux pouvoir associer l'atsortingbut sudoHost en fonction du FQDN plutôt que du nom d'hôte court, afin que nous puissions utiliser des sous-domaines DNS pour différents environnements – par exemple utiliser web1.dev.example.com dans l'environnement de développement et web1.test.example.com dans l'environnement de test et ainsi de suite. Cependant, en ce moment, sudoHost correspond uniquement au nom d'hôte court.

c'est-à-dire que cela fonctionne:

 sudoHost: foo1 

Mais cela ne fonctionne pas:

 sudoHost: foo1.dev.example.com 

Le problème avec juste avoir le nom d'hôte court ( foo1 ) est qu'il correspond à tous les environnements – foo1.dev , foo1.test , foo1.staging , etc. Je veux qu'il soit plus granulaire que cela.

Est-il possible de faire appel à sudo-ldap en fonction du FQDN (tel qu'il est returnné par hostname -f d' hostname -f ) plutôt que simplement le nom d'hôte court?

J'ai goûté sans succès. Je ne trouve rien dans la page man ou en ligne; le plus proche qu'il obtient lorsque vous parlez de l'atsortingbut sudoHost est:

sudoHost

Un nom d'hôte, une adresse IP, un réseau IP ou un groupe hôte net (préfixé par '+'). La valeur spéciale ALL correspond à n'importe quel hôte.

Aucune mention de FQDN vs nom d'hôte court. Il n'y a pas eu de mention de FQDN vs nom d'hôte court dans la section Configuration de ldap.conf .

L'hôte en question exécute Ubuntu 10.04.

One Solution collect form web for “Sudo ldap avec FQDN au lieu du nom d'hôte court”

Étant donné que sudo lui-même ne correspond que sur les mêmes éléments que l'atsortingbut sudoHost mentionne, je suis enclin à penser que, sans rembourrage de sudo intrusif, vous ne recevrez pas ce que vous attendez.

Il existe une possibilité: définissez-vous le nom d'hôte de la machine sur le nom abrégé ou le FQDN? Si vous faites le premier, essayez le dernier et voyez si sudo commute à la reconnaissance du FQDN à la place (vous risquez probablement de ne pas pouvoir égaler le nom court). Honnêtement, je préfère beaucoup configurer mon nom d'hôte à un FQDN, je pense qu'il fournit beaucoup plus de valeur dans une configuration multi-domaine comme celle que vous décrivez (ce qui, en passant, je vous applaudit pour le faire, et je souhaite que tout le monde le ferait fais le).

Si je risquais une estimation (éduquée) de la raison pour laquelle vous ne pouvez (et, honnêtement, ne devrait pas) correspondre en fonction du FQDN (ou, pour être plus précis, datatables fournies par le hostname -f d' hostname -f ) au lieu du nom d'hôte, Je dirais que c'est parce que cette valeur ( hostname -f ) est obtenue par NSS – c'est-à-dire /etc/hosts ou DNS (et sudo ne sait pas). Donc, vous avez soudainement une vulnérabilité de security, de sorte que, si un attaquant peut manipuler les résultats DNS, il a eu votre configuration sudo restreinte pour l'hôte.

Comme une option less utile, mais potentiellement précieuse (si le réglage des FQDN comme nom d'hôte n'est pas possible), passez à l'aide des adresses IP. Il est less évident et un peu une douleur d'entretien si vous devez renuméroter, mais à less que vous ne modifiez vos loggings LDAP à la main, votre sudo-config-maintenance-tool-thingy peut au less cacher la laideur en résolvant les noms / adresses et vous donnant des noms pour jouer et sudo des adresses IP.

  • sauvegardes avec partage de server ubuntu via samba: des instantanés lvm sont-ils nécessaires?
  • ack-grep to ack dans ubuntu
  • Emacs23 avec "hauteur de window trop petite"
  • Clignotement de puissance Apple Cinema Display dans Ubuntu 12
  • Comment afficher tous les certificats ssl dans un paquet?
  • Pourquoi un set valide de règles iptables ralentisse-t-il mon server?
  • Crontab dépendance au travail pour empêcher la course
  • Serveur d'printing Ubuntu dans l'environnement Windows
  • lockfile-touch se termine de façon intermittente
  • Ubuntu précise, postfix, google apps - courrier sortant
  • séance de maintien en faisceau élastique
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.