Nachdem eine FreeIPA-Domäne eingerichtet wurde, gilt standardmäßig die Regel, dass alle Benutzer auf allen Rechnern der Domäne alle Dienste nutzen dürfen. In meiner Domäne möchte ich restriktivere Zugriffsregeln erstellen und es zum Beispiel nur dem Ansible-Benutzer erlauben, sich per SSH mit den Rechnern zu verbinden und sudo zu verwenden. Das lässt sich mit sogenannten Host-Based-Access-Control-Regeln…
Kategorie: Gruppenrichtlinien
FreeIPA: sudo-Regel für den Ansible-Benutzer
Ansible basiert auf dem SSH-Zugriff auf entfernte Rechner. Normalerweise soll Ansible auch administrative Tätigkeiten im Netzwerk wahrnehmen, und dafür bedarf es Administratorrechte, die auf Linux-Rechnern üblicherweise nicht direkt über den oft gar nicht existenten oder nicht aktivierten root-Benutzer, sondern über das Programm sudo verliehen werden. Wer welche Proramme in wessen Namen ausführen darf, bestimmt die…
Dateiberechtigungen überwachen
Im besten Fall gibt es ein klares Berechtigungskonzept, damit Datei- und Verzeichnisberechtigungen nach einem System von den dazu berechtigten Persoen vergeben werden und von vorneherein ausgeschlossen wird, dass Unbefugte Zugriff auf sensible Informationen erhalten. Falls ein solches Konzept nicht vorliegt oder Administratoren sich darüber hinwegsetzen, kann es nützlich sein, nachzuvollziehen, welche Berechtigungen wann von wem…