Es ist gute Praxis, dass Administratoren sich nicht direkt als root auf einem System anmelden, sondern einen eigenen Account verwenden. Stehen administrative Aufgaben an, so wird die Arbeit mittels sudo erledigt. Die dafür notwendigen sudo-Regeln legen daher fest, welcher Account Zugriff auf welche Kommandos hat. Bei Bedarf lässt sich der Zugriff weiter einschränken, sodass Befehle beispielsweise nur auf einem bestimmten Host ausgeführt werden dürfen oder nur zu bestimmten Zeiten zur Verfügung stehen. Standardregeln liegen dabei in der "sudoers"-Datei, eigene Regeln speichern Sie in individuellen Dateien unterhalb von "/etc/sudoers.d". Voraussetzung hierfür ist natürlich, dass die "sudoers"-Datei eine entsprechende "includedir"-Anweisung enthält.
Da das Management lokal vorgehaltener sudo-Dateien unter Umständen recht schnell sehr umständlich werden kann, besteht glücklicherweise auch die Möglichkeit, die sudo-Regeln in einem zentralen Verzeichnisdienst abzulegen. Clients greifen dann über LDAP auf diesen zurück und gelangen somit ebenfalls an die notwendigen Informationen. Damit diese auch off-line zur Verfügung stehen, bieten moderne Client-Anwendungen das Caching dieser Regeln auf dem Client-System an.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.