Perbarui beberapa file sudoers

Kami memiliki beberapa server Linux yang mengautentikasi ke Domain Direktori Aktif. Untuk grup dalam AD, saya ingin menambahkan daftar perintah yang diizinkan dijalankan sebagai root menggunakan sudo. Saya jelas dapat ssh-in ke setiap komputer dan memperbarui file sudoers -tapi itu akan memakan waktu. Juga, login root tidak diperbolehkan. Jadi, kata sandi lebih sedikit login hanya akan berfungsi untuk pengguna non-root.

Apakah ada cara cepat untuk memperbarui file sudoers untuk setiap komputer Linux sekaligus? Saya sedang memikirkan skrip Perl atau Python dengan beberapa kemampuan administrasi sistem di sini.

Pembaruan: Terima kasih veroteq7 dan Shane Madden. Saya telah berpikir tentang menyebarkan cfengine pada satu titik- tetapi kami belum menjalankannya saat ini. Kami telah memutuskan bahwa menggunakan LDAP akan menjadi solusi terbaik. Saya mendapatkan kesalahan saat mengimpor skema LDIF schema.ActiveDirectory untuk sudo. Kesalahannya adalah "parameter tidak benar" pada baris 144.

Ini adalah konten dari baris 144 dan seterusnya:

dn: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: top
objectClass: classSchema
cn: sudoRole
distinguishedName: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
instanceType: 4
possSuperiors: container
possSuperiors: top
subClassOf: top
governsID: 1.3.6.1.4.1.15953.9.2.1
mayContain: sudoCommand
mayContain: sudoHost
mayContain: sudoOption
mayContain: sudoRunAs
mayContain: sudoRunAsUser
mayContain: sudoRunAsGroup
mayContain: sudoUser
rDNAttID: cn
showInAdvancedViewOnly: FALSE
adminDisplayName: sudoRole
adminDescription: Sudoer Entries
objectClassCategory: 1
lDAPDisplayName: sudoRole
name: sudoRole
schemaIDGUID:: SQn432lnZ0+ukbdh3+gN3w==
systemOnly: FALSE
objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,DC=X
defaultObjectCategory: CN=sudoRole,CN=Schema,CN=Configuration,DC=X

Perintah yang saya gunakan adalah:

ldifde -i -f schema.ActiveDirectory -c dc=X dc=DOMAINNAME,dc=LOCAL

Update2: Saya membuat pertanyaan baru . Terima kasih semuanya atas saran.

Mengapa tidak memo /etc/sudoersdan gunakan AD (LDAP) sebagai toko sudoers Anda? - Info lebih lanjut di sini .

Anda sudah mengautentikasi terhadap AD, jadi ini hanya langkah logis berikutnya, dan memberi Anda tempat yang nyaman dan terpusat untuk menangani otentikasi dan otorisasi.

Bagaimana dengan alat manajemen konfigurasi? Boneka , Koki , CFEngine , dll?

Anda dapat mendefinisikan grup dalam sudoers ... dan menarik grup-grup itu dari repositori otentikasi pusat ... seperti Active Directory. Saya suka menempatkan admin domain dalam file sudoers saya. Menghemat banyak sakit kepala.

Jika Anda mencari API untuk memodifikasi file sudoers Anda, Anda dapat menggunakan Augeas dengan lensa Sudoers. Ini terintegrasi dengan baik dengan Wayang , tetapi Anda juga bisa menggunakannya dalam skrip Anda (ada banyak ikatan).

Lihat jawaban ini misalnya.

Hmm !! itu sakit. cara lain Anda dapat melakukannya dengan perintah cssh yang akan memungkinkan Anda untuk membuka banyak jendela sekaligus. jika Anda mengetik sesuatu di jendela kecil (jendela putih kosong), Anda akan melihat bahwa pengetikan Anda menyebar melalui semua jendela. saya akan merekomendasikan untuk mengambil cadangan file suoders Anda dan menggunakan perintah visudo untuk memperbarui sudoers. jika ada file sudoer yang tidak disukai, visudo akan meminta Anda untuk memperbaiki file tersebut.

Bersulang