sudo combiné à LDAP

Ajouter l'option –with-ldap lors de la compilation.

cp /chemin/vers/les/sources/schema.OpenLDAP /usr/local/etc/openldap/schema/sudo.schema

Puis rajouter au slapd.conf :

include        /usr/local/etc/openldap/schema/sudo.schema

Authentification :

• binddn,bindpw dans /etc/ldap.conf
• rootbinddn dans /etc/ldap.conf et /etc/ldap.passwd
• Anonyme en l'absence de binddn,bindpw et de rootbinddn,/etc/ldap.passwd

Autres :

• sudoers_base : DN de base concernant sudo

Exporter son fichier /etc/sudoers vers LDAP :

export SUDOERS_BASE=ou=SUDOers,dc=example,dc=com
./sudoers2ldif /etc/sudoers > /tmp/sudoers.ldif

Liste des attributs de l'objet sudoRole :

• cn (obligatoire) :
• sudoUser (multivalué) : l'utilisateur concerné
• sudoHost (multivalué) : l'hôte concerné (ALL)
• sudoCommand (multivalué) : la commande
• sudoRunAs (multivalué) : le compte sous lequel sera exécuté la commande
• sudoOption (multivalué) : options de sudo (comme nopasswd ?)

Correspondent à l'objet désigné par le DN : cn=defaults,<valeur de sudoers_base>

Dans /etc/sudoers (?) :

• ignore_local_sudoers (valeur on/off, off par défaut) : le fichier /etc/sudoers est ignoré au seul profit de l'annuaire lorsque la valeur est On.

Débogage, /etc/ldap.conf :

• sudoers_debug :
  • valeur 0 : aucun débogage
  • valeur 1 : niveau de débogage modéré
  • valeur 2 : niveau de débogage maximal