====== sudo combiné à LDAP ======

===== Mise en place =====

==== Compilation ====

Ajouter l'option --with-ldap lors de la compilation.

==== Mise en place avec LDAP ====

cp /chemin/vers/les/sources/schema.OpenLDAP /usr/local/etc/openldap/schema/sudo.schema

Puis rajouter au slapd.conf :
<code>
include        /usr/local/etc/openldap/schema/sudo.schema
</code>

===== Configuration =====

==== Connexion à LDAP ====

Authentification :
  * binddn,bindpw dans /etc/ldap.conf
  * rootbinddn dans /etc/ldap.conf et /etc/ldap.passwd
  * Anonyme en l'absence de binddn,bindpw et de rootbinddn,/etc/ldap.passwd

Autres :
  * sudoers_base : DN de base concernant sudo

==== Exportation ====

Exporter son fichier /etc/sudoers vers LDAP :
<code>
export SUDOERS_BASE=ou=SUDOers,dc=example,dc=com
./sudoers2ldif /etc/sudoers > /tmp/sudoers.ldif
</code>

==== Création des comptes ====

Liste des attributs de l'objet sudoRole :
  * cn (obligatoire) :
  * sudoUser (multivalué) : l'utilisateur concerné
  * sudoHost (multivalué) : l'hôte concerné (ALL)
  * sudoCommand (multivalué) : la commande
  * sudoRunAs (multivalué) : le compte sous lequel sera exécuté la commande
  * sudoOption (multivalué) : options de sudo (comme nopasswd ?)

==== Les options par défaut ====

Correspondent à l'objet désigné par le DN : cn=defaults,<valeur de sudoers_base>

===== Plus loin dans la configuration =====

Dans /etc/sudoers (?) :
  * ignore_local_sudoers (valeur on/off, off par défaut) : le fichier /etc/sudoers est ignoré au seul profit de l'annuaire lorsque la valeur est On.

Débogage, /etc/ldap.conf :
  * sudoers_debug :
    * valeur 0 : aucun débogage
    * valeur 1 : niveau de débogage modéré 
    * valeur 2 : niveau de débogage maximal