linux ipa 权限管理,FreeIPA增加Linux用户及sudo权限
# 1 用户组
> FreeIPA默认有admins、editors、ipausers、trust admins用户组,这里单独创建一个用户组。
```
[root@ipa1 ~]# kinit admin
Password for admin@SYSIT.CN:
[root@ipa1 ~]#
[root@ipa1 ~]# ipa group-add osadmin
---------------------
Added group "osadmin"
---------------------
Group name: osadmin
GID: 1683200003
```
* 或者通过web Ui添加
![title](/api/file/getImage?fileId=5bffb40d3cd7c91e15000256)
# 2 用户
```
[root@ipa1 ~]# ipa user-add osuser1 --first=OS --last=user1 --password
Password:
Enter Password again to verify:
--------------------
Added user "osuser1"
--------------------
User login: osuser1
First name: OS
Last name: user1
Full name: OS user1
Display name: OS user1
Initials: Ou
Home directory: /home/osuser1
GECOS: OS user1
Login shell: /bin/sh
Principal name: osuser1@SYSIT.CN
Principal alias: osuser1@SYSIT.CN
Email address: osuser1@sysit.cn
UID: 1683200004
GID: 1683200004
Password: True
Member of groups: ipausers
Kerberos keys available: False
```
也可以web ui创建
![title](/api/file/getImage?fileId=5bffad083cd7c91e15000253)
# 3 用户配置文件
```
[root@ipa1 ~]# ipa user-mod osuser1 --shell=/bin/bash --homedir=/home/osuser1
-----------------------
Modified user "osuser1"
-----------------------
User login: osuser1
First name: OS
Last name: user1
Home directory: /home/osuser1
Login shell: /bin/bash
Principal name: osuser1@SYSIT.CN
Principal alias: osuser1@SYSIT.CN
Email address: osuser1@sysit.cn
UID: 1683200004
GID: 1683200004
Account disabled: False
Password: False
Member of groups: osadmin, ipausers
Kerberos keys available: False
```
* 或者通过web UI 修改
![title](/api/file/getImage?fileId=5bffb4533cd7c91e15000257)
# 4 用户加入用户组
```
[root@ipa1 ~]# ipa group-add-member osadmin --users=osuser1
Group name: osadmin
GID: 1683200003
Member users: osuser1
-------------------------
Number of members added 1
-------------------------
```
# 5 用户权限管理
* Freeipa提供了统一权限管理功能,可直观的通过web ui进行配置
## 5.1 创建HBAC规则
* 【Policy-Host Based Access Control】,根据需要创建控制规则,规则设置简单易懂,即【什么用户(组)可以通过什么服务(组)访问哪台主机(组)】,在创建响应的用户、用户组、主机、主机组、服务、服务组后即可进行筛选、添加等操作。
* 配置完毕后,请删除删除默认的allow_all规则。
* 依次点击Plolicy-> Host-Based Access Control -> Add
![title](/api/file/getImage?fileId=5bffa8273cd7c91e15000248)
![title](/api/file/getImage?fileId=5bffa8693cd7c91e15000249)
* 添加用户或用户组
![title](/api/file/getImage?fileId=5bffa9113cd7c91e1500024b)
* 主机或主机组
![title](/api/file/getImage?fileId=5bffa94d3cd7c91e1500024c)
* 服务或服务组
![title](/api/file/getImage?fileId=5bffa97e3cd7c91e1500024d)
![title](/api/file/getImage?fileId=5bffa9b93cd7c91e1500024e)
![title](/api/file/getImage?fileId=5bffa9e33cd7c91e1500024f)
## 5.2 SUDO权限
在未创建sudo规则前,登录用户只具备普通用户权限,如果需进行系统管理操作,需要创建对应的sudo规则。
a) **首先检查确认上一节HBAC配置:**
Who:需要使用sudo的用户或用户组已配置
Accessing:需访问的主机或主机组已配置
Via Service:已启用sshd、sudo服务
b) **创建适当的sudo规则**
【Policy-Sudo-Sudo Rules】,创建新的Sudo规则,名为"osadmin_sudo_rule"
![title](/api/file/getImage?fileId=5bffaaab3cd7c91e15000250)
![title](/api/file/getImage?fileId=5bffab7d3cd7c91e15000251)
![title](/api/file/getImage?fileId=5bffabd43cd7c91e15000252)
![title](/api/file/getImage?fileId=5bffaf8c3cd7c91e15000254)
## 5.3 验证sudo规则
SSH远程登录验证是否可正常登录,同时执行sudo command验证是否可正常执行。如出现要求反复输入密码的情况,请检查上述配置是否正确。
* ssh
```
[root@ipa1 ~]# ssh osuser1@client.sysit.cn
Password:
Password expired. Change your password now.
Current Password:
New password:
Retype new password:
Creating home directory for osuser1.
[osuser1@client ~]$
```
* sudo
```
[osuser1@client ~]$ sudo uptime
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for osuser1:
osuser1 is not allowed to run sudo on client. This incident will be reported.
```
* 实际测试添加!authenticate的sudorule options
```
ipa sudorule-add-option --sudooption='!authenticate'
```
* 或者通过web ui添加
![title](/api/file/getImage?fileId=5bffb2da3cd7c91e15000255)
linux ipa 权限管理,FreeIPA增加Linux用户及sudo权限相关推荐
- Linux命令学习笔记(一)—— 用户及文件权限管理
1.用户 1.1 查看用户 who am i 查看当前用户及时间 whoami 显示当前用户 1.2创建用户 创建用户要用到 sudo 这个命令了.不过使用这个命令有两个大前提: 你要知道当前登录用户 ...
- Linux(9)--添加新用户+赋sudo权限
用户管理 1. adduser step1:添加新用户 step2 : 赋予sudo权限. step3: 删除用户 2. useradd (建议不要使用) 1. adduser step1:添加新用户 ...
- linux为用户添加sudo权限
用sudo时提示"xxx is not in the sudoers file. This incident will be reported.其中XXX是你的用户名,也就是你的用户名没有权 ...
- Linux 用户添加sudo权限
Linux 用户添加sudo权限 一:切换到root用户 二:修改sudoers文件的权限.默认只有readonly权限 三:利用vim命令修改sudoers文件 一:切换到root用户 su roo ...
- Linux用户配置sudo权限(visudo)[转]
本文转载至:http://blog.csdn.net/a19881029/article/details/18730671 参考网站:http://www.jb51.net/LINUXjishu/12 ...
- ASP.NET MVC+EF框架+EasyUI实现权限管理系列(17)-注册用户功能的细节处理(各种验证)...
原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(17)-注册用户功能的细节处理(各种验证) ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇) (1):框 ...
- 文件exer1的访问权限为rw-r--r--,现要增加所有用户的执行权限和同组用户的写权限,下列哪个命令是对的?
文件exer1的访问权限为rw-r--r--,现要增加所有用户的执行权限和同组用户的写权限,下列哪个命令是对的? 正确答案: A 你的答案: C (错误) chmod a+x g+w exer1 ...
- 7 centos 配置sudo权限_centos7给用户设置sudo权限
1. 前言 sudo命令旨在允许用户使用其他用户(默认情况下为root用户)的身份运行程,. 在本指南中,我们将向您展示如何在CentOS上创建具有sudo权限的新用户,即centos7给用户添加su ...
- centos给用户添加sudo权限
linux给用户添加sudo权限: 有时候,linux下面运行sudo命令,会提示类似: xxxis not in the sudoers file. This incident will be re ...
最新文章
- javascript创建对象的三种方式
- 智能车竞赛中的车模足底按摩
- 等同于JavaScript isset()
- 2022.2.21显示器连接器引脚信号定义1
- ajax中success函数无法改变全局或局部变量的值
- 分享几个路由器设置小技巧,总有用得到的一天!
- 清除error.log、access.log并限制Apache日志文件大小的方法
- 那些与 IE 相伴的日子
- sed -i 单引号中嵌套双引号_【函数应用】IF函数的多层嵌套
- matlab 非线性电感,基于Matlab/Simulink利用动态和静态电感等磁参数建立了一种开关磁阻电机的非线性磁参数模型...
- QT_继承ApplicationWindow控件的C++与QML交互
- python cpk计算器_Python进行CPK计算
- 如何用计算机函数来求加权总分,Excel小技巧-使用函数「SUMPRODUCT」计算加权后的总和及平均值...
- GB2312汉字拼音对照表
- html怎么控制文字的行数,CSS3属性 line-clamp控制文本行数的使用
- 新高考十二种选科情况下,再选科目的考室安排的探索2.0版
- 6120c手机使用教程大全!
- 比特率 波特率 数据传输速率区别
- 如何零基础学习法语,陈家桥法语零基础入门学习
- matlab实现牛顿下山法(下山过程)
热门文章
- 爬取7160美女图片
- 根据百度地图进行IP定位获取地址
- 恒源云(GPUSHARE)_CV训练时容易忽视的数据标签问题
- u盘安装linux卡logo,安装Ubuntu16.04卡在logo界面
- 配置AD域环境、OU、GPO
- oracle utl_file fcopy,ORACLE之UTL_FILE包详解
- [NC207040]丢手绢
- 余额重估(Revaluation Balances)相关设置和操作
- (附源码)ssm教学督导管理系统 毕业设计 292346
- 大王卡40G封顶怎么解除?腾讯王卡永久解除限流方法