Sudo ldap avec FQDN au lieu du nom d'hôte court

Sur mon lieu de travail, nous utilisons sudo-ldap pour fournir des privilèges sudo sur le réseau à partir d'un magasin centralisé. Nous le faisons en fonction du nom d'user plus le nom d'hôte qu'ils exécutent sur, par exemple:

sudoHost: foo1 sudoUser: user1 

Je veux pouvoir associer l'atsortingbut sudoHost en fonction du FQDN plutôt que du nom d'hôte court, afin que nous puissions utiliser des sous-domaines DNS pour différents environnements – par exemple utiliser web1.dev.example.com dans l'environnement de développement et web1.test.example.com dans l'environnement de test et ainsi de suite. Cependant, en ce moment, sudoHost correspond uniquement au nom d'hôte court.

c'est-à-dire que cela fonctionne:

 sudoHost: foo1 

Mais cela ne fonctionne pas:

 sudoHost: foo1.dev.example.com 

Le problème avec juste avoir le nom d'hôte court ( foo1 ) est qu'il correspond à tous les environnements – foo1.dev , foo1.test , foo1.staging , etc. Je veux qu'il soit plus granulaire que cela.

Est-il possible de faire appel à sudo-ldap en fonction du FQDN (tel qu'il est returnné par hostname -f d' hostname -f ) plutôt que simplement le nom d'hôte court?

J'ai goûté sans succès. Je ne trouve rien dans la page man ou en ligne; le plus proche qu'il obtient lorsque vous parlez de l'atsortingbut sudoHost est:

sudoHost

Un nom d'hôte, une adresse IP, un réseau IP ou un groupe hôte net (préfixé par '+'). La valeur spéciale ALL correspond à n'importe quel hôte.

Aucune mention de FQDN vs nom d'hôte court. Il n'y a pas eu de mention de FQDN vs nom d'hôte court dans la section Configuration de ldap.conf .

L'hôte en question exécute Ubuntu 10.04.

One Solution collect form web for “Sudo ldap avec FQDN au lieu du nom d'hôte court”

Étant donné que sudo lui-même ne correspond que sur les mêmes éléments que l'atsortingbut sudoHost mentionne, je suis enclin à penser que, sans rembourrage de sudo intrusif, vous ne recevrez pas ce que vous attendez.

Il existe une possibilité: définissez-vous le nom d'hôte de la machine sur le nom abrégé ou le FQDN? Si vous faites le premier, essayez le dernier et voyez si sudo commute à la reconnaissance du FQDN à la place (vous risquez probablement de ne pas pouvoir égaler le nom court). Honnêtement, je préfère beaucoup configurer mon nom d'hôte à un FQDN, je pense qu'il fournit beaucoup plus de valeur dans une configuration multi-domaine comme celle que vous décrivez (ce qui, en passant, je vous applaudit pour le faire, et je souhaite que tout le monde le ferait fais le).

Si je risquais une estimation (éduquée) de la raison pour laquelle vous ne pouvez (et, honnêtement, ne devrait pas) correspondre en fonction du FQDN (ou, pour être plus précis, datatables fournies par le hostname -f d' hostname -f ) au lieu du nom d'hôte, Je dirais que c'est parce que cette valeur ( hostname -f ) est obtenue par NSS – c'est-à-dire /etc/hosts ou DNS (et sudo ne sait pas). Donc, vous avez soudainement une vulnérabilité de security, de sorte que, si un attaquant peut manipuler les résultats DNS, il a eu votre configuration sudo restreinte pour l'hôte.

Comme une option less utile, mais potentiellement précieuse (si le réglage des FQDN comme nom d'hôte n'est pas possible), passez à l'aide des adresses IP. Il est less évident et un peu une douleur d'entretien si vous devez renuméroter, mais à less que vous ne modifiez vos loggings LDAP à la main, votre sudo-config-maintenance-tool-thingy peut au less cacher la laideur en résolvant les noms / adresses et vous donnant des noms pour jouer et sudo des adresses IP.

  • Installation du server Clone Ubuntu sur plusieurs machines
  • Problèmes avec grub avec notre installation RAID10 Ubuntu
  • Comment puis-je imprimer sur une imprimante Lexmark X3550 utilisant Ubuntu?
  • La partition LVM ne dit pas d'espace même si ce n'est pas
  • Obtenir mon script de maintenance du server correctement
  • Comment faire passer le projet à partir de la machine locale vers le server Linux Exrernal
  • Protéger contre une attaque de DOS
  • / bin / ls n'a pas été trouvé, même s'il existe!
  • Serveur SMTP Postfix sur Ubuntu
  • Sécurisation de PHP via open_basedir basé sur le path du script
  • Quelqu'un peut-il préciser Ubuntu (Debian) dist-upgrade pour moi?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.