Jak stworzyć sudoorula w freeIPA dla wbudowanego sudoedit


Obecnie, gdy chcę dać jakiejś grupie użytkowników uprawnienia do edycji pliku, postępuję w następujący sposób:
ipa sudocmd-add --desc=Vi IMproved default-mode, no-exec, no-suspend mode' '/usr/bin/rvim'
ipa sudocmdgroup-add edition --desc='commands for restricted edition'
ipa sudocmdgroup-add-member edition --sudocmds=/usr/bin/rvim
ipa sudorule-add edition-4-operators --desc='Operator access to restricted edition commands'
ipa sudorule-add-allow-command edition-4-operators --sudocmdgroups=edition

a następnie pozostałe opcje związane z HBAC, SELinux itp.
Chcę wymienić
/usr/bin/rvim
z wbudowanym
       sudoedit(8)
we wszystkich moich jamach

freeIPA
http://freeipa.org
serwer.
Muszę zadeklarować
       sudoedit
tak jak
       sudocmd
nadal? Czy mogę bezpośrednio dodać
       sudoedit
do
       sudocmdgroup
bez deklarowania go jako
       sudocmd
wcześniej?
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Oto jak to zrobić (właściwie praktyczny przykład):
#  ipa sudocmd-add --desc='sudoedit configuration file of IPv4 packet filtering and NAT' 'sudoedit/etc/sysconfig/iptables'
--------------------------------------------------------------
Added Sudo Command "sudoedit/etc/sysconfig/iptables"
--------------------------------------------------------------
Sudo Command: sudoedit/etc/sysconfig/iptables
Description: sudoedit configuration file of IPv4 packet filtering and NAT# ipa sudocmdgroup-add-member networking --sudocmds='sudoedit/etc/sysconfig/iptables'
Sudo Command Group: networking
Description: commands for network configuration and troubleshooting
Member Sudo commands: sudoedit/etc/sysconfig/iptables
-------------------------
Number of members added 1
-------------------------

Bądź sudoedit wbudowane sudo
# ls -lrt/usr/bin/sudoedit
lrwxrwxrwx. 1 root root 4 Apr 8 09:00/usr/bin/sudoedit -> sudo*

próbując dodać skurcz za pomocą
/usr/bin/sudoedit
zakończy się niepowodzeniem z tym błędem:
$ sudo -e/etc/sysconfig/iptables
Sorry, user joe is not allowed to execute 'sudoedit/etc/sysconfig/iptables' as root on host.domain.com.

Działa poprawnie dla obu
         sudo -e
i
         sudoedit
.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się