我们有多台向Active Directory域进行身份验证的Linux服务器。对于AD中的组,我想添加允许使用sudo以root身份运行的命令列表。我显然可以插入到每台计算机并更新sudoers文件-但这将需要一些时间。另外,不允许root登录。因此,少密码登录仅适用于非root用户。
有没有一种快速的方法可以立即为每台Linux计算机更新sudoers文件?我在这里考虑具有某些系统管理功能的Perl或Python脚本。
更新:感谢veroteq7和Shane Madden。我曾考虑过一次部署cfengine,但目前还没有运行它。我们已决定使用LDAP是最佳解决方案。导入sudo的LDIF架构schema.ActiveDirectory时出现错误。错误是第144行上的“参数不正确”。
这是从第144行开始的内容:
dn: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: top
objectClass: classSchema
cn: sudoRole
distinguishedName: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
instanceType: 4
possSuperiors: container
possSuperiors: top
subClassOf: top
governsID: 1.3.6.1.4.1.15953.9.2.1
mayContain: sudoCommand
mayContain: sudoHost
mayContain: sudoOption
mayContain: sudoRunAs
mayContain: sudoRunAsUser
mayContain: sudoRunAsGroup
mayContain: sudoUser
rDNAttID: cn
showInAdvancedViewOnly: FALSE
adminDisplayName: sudoRole
adminDescription: Sudoer Entries
objectClassCategory: 1
lDAPDisplayName: sudoRole
name: sudoRole
schemaIDGUID:: SQn432lnZ0+ukbdh3+gN3w==
systemOnly: FALSE
objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,DC=X
defaultObjectCategory: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
我使用的命令是:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=DOMAINNAME,dc=LOCAL
Update2:我创建了一个新问题。谢谢大家的建议。