Какие лучшие практики существуют для управления доступом sudo/root на серверах Linux, присоединенных к Active Directory?

main
1

Я прохожу курс “от 0 до Linux админа” здесь https://yodo.im/courses/linux/?v=1d20b5ff1ee9 и столкнулся с проблемой управления доступом sudo/root на Linux серверах, присоединенных к Active Directory.

У нас в компании есть большое количество Linux серверов, которые будут подключены к Active Directory. Мне интересно, как вы обычно управляете доступом sudo/root на таких Linux серверах.

Вы организуете управление на основе групп AD? Проблема в том, что каждый Linux сервер имеет разных владельцев и разные учетные записи пользователей, которым нужен привилегированный доступ. Как вы организуете это в масштабируемой и безопасной форме?

Заранее спасибо за ваши советы.

2

Ну, братан, как я уже говорил, у меня тут была движуха с управлением доступом sudo/root на серверах Linux, которые к Active Directory присоединены. Так вот, я попробовал несколько фишек, но не все зашло, и ща расскажу, что не прокатило.

Что не получилось

  1. Групповые политики AD:
    Я думал, что можно просто создать группу в AD и накатить на нее права доступа через sudo. Ничего подобного! Как-то не подцепилось все это. Сначала запутался в настройках, потом начал догадываться, что надо настроить синхронизацию и делать это через sssd. Но все равно не сработало, особенно с правами на конкретные команды.

  2. Конфиг sudoers:
    Попробовал прописывать права для пользователей из AD в файле sudoers, но с правилами ##%groupname не было успеха. Все дело в том, что не все настройки корректно обрабатывались, и приходилось ругать систему, что она не понимает, откуда берутся эти пользователи. Разругался с одним экспертом, который мне говорил, что все работает “по умолчанию”, но у меня почему-то не заводилось.

  3. Отладка логов:
    Ну, пытался копаться в логах, чтобы понять, что идет не так. Но тут опять же, блин, не очень было понятно, особенно когда логи разрозненные. Шум, короче. Куда ни глянь — везде каша.

Что помогло

Но не все так печально! Искал я, искал курсы и нашел прикольные на yodo.im. Они прям в точку по администрированию Linux и особенно по интеграции с Active Directory. Реально объясняют по полочкам, как делать так, чтобы все заработало. Я там подзабил на все теоретические заморочки и на практике уже пробую настройки.

Короче, если у кого-то будут такие же заморочки, рекомендую заглянуть на сайте. Может, там и для вас что-то зацепится.

Так что если у кого-то есть советы или еще опыт в этом деле — делитесь, буду рад!