Cập nhật nhiều tập tin sudoers

Chúng tôi có nhiều máy chủ Linux xác thực với Miền Active Directory. Đối với một nhóm trong AD, tôi muốn thêm một danh sách các lệnh được phép chạy bằng root bằng sudo. Tôi rõ ràng có thể ssh-in cho mỗi máy tính và cập nhật tệp sudoers -nhưng sẽ mất một thời gian. Ngoài ra, đăng nhập root không được phép. Vì vậy, mật khẩu đăng nhập ít hơn sẽ chỉ hoạt động cho người dùng không root.

Có cách nào nhanh chóng để cập nhật tệp sudoers cho mỗi máy tính Linux không? Tôi đang nghĩ về một kịch bản Perl hoặc Python với một số khả năng quản trị hệ thống ở đây.

Cập nhật: Cảm ơn veroteq7 và Shane Madden. Tôi đã nghĩ về việc triển khai cengine tại một thời điểm - nhưng hiện tại chúng tôi không có nó chạy. Chúng tôi đã quyết định rằng sử dụng LDAP sẽ là giải pháp tốt nhất. Tôi đang gặp lỗi khi nhập lược đồ lược đồ LDIF.ActiveDirectory cho sudo. Lỗi là "tham số không chính xác" trên dòng 144.

Đây là nội dung từ dòng 144 trở đi:

dn: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: top
objectClass: classSchema
cn: sudoRole
distinguishedName: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
instanceType: 4
possSuperiors: container
possSuperiors: top
subClassOf: top
governsID: 1.3.6.1.4.1.15953.9.2.1
mayContain: sudoCommand
mayContain: sudoHost
mayContain: sudoOption
mayContain: sudoRunAs
mayContain: sudoRunAsUser
mayContain: sudoRunAsGroup
mayContain: sudoUser
rDNAttID: cn
showInAdvancedViewOnly: FALSE
adminDisplayName: sudoRole
adminDescription: Sudoer Entries
objectClassCategory: 1
lDAPDisplayName: sudoRole
name: sudoRole
schemaIDGUID:: SQn432lnZ0+ukbdh3+gN3w==
systemOnly: FALSE
objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,DC=X
defaultObjectCategory: CN=sudoRole,CN=Schema,CN=Configuration,DC=X

Lệnh mà tôi đã sử dụng là:

ldifde -i -f schema.ActiveDirectory -c dc=X dc=DOMAINNAME,dc=LOCAL

Update2: Tôi đã tạo một câu hỏi mới . Cảm ơn mọi người đã góp ý.

Tại sao không phế liệu /etc/sudoersvà sử dụng AD (LDAP) làm cửa hàng sudoers của bạn? - Thêm thông tin ở đây .

Bạn đã xác thực với AD, vì vậy đây chỉ là bước hợp lý tiếp theo và cung cấp cho bạn một nơi tập trung, thuận tiện để xử lý xác thực và ủy quyền.

Làm thế nào về một công cụ quản lý cấu hình? Con rối , Đầu bếp , CFEngine , v.v?

Bạn có thể xác định các nhóm trong sudoers ... và kéo các nhóm đó từ kho lưu trữ xác thực trung tâm ... như Active Directory. Tôi thích đặt quản trị viên tên miền trong tập tin sudoers của tôi. Tiết kiệm rất nhiều đau đầu.

Nếu bạn đang tìm kiếm một API để sửa đổi tệp sudoers của mình, bạn có thể sử dụng Augeas với ống kính Sudoers. Nó tích hợp độc đáo với Puppet , nhưng bạn cũng có thể sử dụng nó trong một kịch bản của bạn (có nhiều ràng buộc).

Xem câu trả lời này chẳng hạn.

Hừm !! đó là một nỗi đau. cách khác bạn có thể làm với lệnh cssh sẽ cho phép bạn mở nhiều cửa sổ cùng một lúc. nếu bạn gõ một cái gì đó trên cửa sổ nhỏ (cửa sổ trống trắng), bạn sẽ nhận thấy con của bạn đang lan truyền qua tất cả các cửa sổ. Tôi muốn giới thiệu và sao lưu tệp suoders của bạn và sử dụng lệnh visudo để cập nhật sudoers. nếu tập tin sudoer nào không thích, visudo sẽ bảo bạn sửa tập tin.

Chúc mừng