[Freeipa-users] RES: RES: FreeIPA integration with AIX and sudo

Dmitri Pal dpal at redhat.com
Mon Apr 6 21:51:35 UTC 2015 

On 04/06/2015 03:16 PM, Luiz Fernando Vianna da Silva wrote:
>
> Hello Dmitri.
>
> I finally managed to write the wiki article on configuring sudo on AIX!
>
> Here is the URL: http://www.freeipa.org/page/SUDO_Integration_for_AIX 
> <http://www.freeipa.org/page/SUDO_Integration_for_AIX>
>
> I also added a reference to it on the 
> http://www.freeipa.org/page/HowTos#General page as well as a topic on 
> the http://www.freeipa.org/page/ConfiguringUnixClients page pointing 
> to the article.
>
> I hope its format is up to code with FreeIPA’s formatting standards 
> and that the language used is clear.
>

Very nice!
Thanks a lot!
Looks great!

> Atenciosamente/Best Regards
>
> *__________________________________________*
>
> *Luiz Fernando Vianna da Silva*
>
> ITM-I - Operação Cielo
>
> +55 (11) 3626-7126
>
> luiz.vianna at tivit.com.br <mailto:luiz.vianna at tivit.com.br>
>
> *T I V I T
> **
> *Av. Maria Coelho Aguiar, 215 - Bloco D - 5˚ Andar
>
> São Paulo - SP - CEP 05804-900
>
> www.tivit.com.br <http://www.tivit.com.br/>
>
> Esta mensagem, incluindo seus anexos, tem caráter confidencial e seu 
> conteúdo é restrito ao destinatário da mensagem. Caso você a tenha 
> recebido por engano, queira, por favor, retorná-la ao destinatário e 
> apagá-la de seus arquivos. Qualquer uso não autorizado, replicação ou 
> disseminação desta mensagem ou parte dela é expressamente proibido. A 
> TIVIT não se responsabilizará pelo conteúdo ou pela veracidade desta 
> informação.
>
> *De:*Luiz Fernando Vianna da Silva
> *Enviada em:* quinta-feira, 2 de abril de 2015 14:41
> *Para:* 'dpal at redhat.com'; freeipa-users at redhat.com
> *Assunto:* RES: [Freeipa-users] RES: FreeIPA integration with AIX and sudo
>
> Hi Dmitri.
>
> Working on it right now. :)
>
> Atenciosamente/Best Regards
>
> *__________________________________________*
>
> *Luiz Fernando Vianna da Silva*
>
> ITM-I - Operação Cielo
>
> +55 (11) 3626-7126
>
> luiz.vianna at tivit.com.br <mailto:luiz.vianna at tivit.com.br>
>
> *T I V I T
> **
> *Av. Maria Coelho Aguiar, 215 - Bloco D - 5˚ Andar
>
> São Paulo - SP - CEP 05804-900
>
> www.tivit.com.br <http://www.tivit.com.br/>
>
> Esta mensagem, incluindo seus anexos, tem caráter confidencial e seu 
> conteúdo é restrito ao destinatário da mensagem. Caso você a tenha 
> recebido por engano, queira, por favor, retorná-la ao destinatário e 
> apagá-la de seus arquivos. Qualquer uso não autorizado, replicação ou 
> disseminação desta mensagem ou parte dela é expressamente proibido. A 
> TIVIT não se responsabilizará pelo conteúdo ou pela veracidade desta 
> informação.
>
> *De:*freeipa-users-bounces at redhat.com 
> <mailto:freeipa-users-bounces at redhat.com> 
> [mailto:freeipa-users-bounces at redhat.com] *Em nome de *Dmitri Pal
> *Enviada em:* quinta-feira, 2 de abril de 2015 10:23
> *Para:* freeipa-users at redhat.com <mailto:freeipa-users at redhat.com>
> *Assunto:* Re: [Freeipa-users] RES: FreeIPA integration with AIX and sudo
>
> On 04/01/2015 01:58 PM, Luiz Fernando Vianna da Silva wrote:
>
>     Hi Yves.
>
>     First a little background information regarding sudo on AIX: Most
>     sudo packages compiled for AIX are _/NOT/_ compiled with LDAP support.
>
>     Although sudo’s documentation states that sudo supports different
>     LDAP implementations, other than OpenLDAP, I suppose it doesn’t
>     work well with AIX’s LDAP fileset.
>
>     That’s my guess why most sudo packages for AIX aren’t compiled
>     with LDAP support. [BTW, you can check this by running, as root,
>     sudo -V| grep -i ldap].
>
>     The good news is that Michel Perzl, has successfully compiled a
>     sudo package with LDAP support, although its compiled against
>     OpenLDAP and not AIX’s LDAP fileset.
>
>     So, here is how I did it:
>
>     (1) Go to http://www.perzl.org/aix/ <http://www.perzl.org/aix/>
>     and download the following RPM packages on their latest versions:
>
>     &#61623sudo >= 1.8.11
>
>     &#61623gettext >= 0.10.40
>
>     &#61623openldap >= 2.4.23
>
>     &#61623openssl >= 1.0.1j-1
>
>     &#61623zlib
>
>     Make sure you don’t have the sudo fileset installed or another
>     sudo rpm package.
>
>     Don’t worry about openssl from this RPM package conflicting with
>     the OpenSSL fileset from AIX, they won’t.
>
>     Don’t worry about openldap from this RPM package conflicting with
>     the ldap fileset from AIX, they won’t.
>
>     (2) Upload the rpm packages to you AIX LPAR and put them all in a
>     directory, I used /tmp/sudopack. [From here on I assume you are
>     root on your LPAR].
>
>     (3) From the directory where you put your packages run a “rpm -ivh
>     *.rpm --test” and if all goes well proceed without the “--test”,
>     otherwise sort out the dependencies and conflicts like the grown
>     man you are :).
>
>     (4) Once the rpms are installed, add the following line to the
>     bottom of your /etc/netsvc.conf file: sudoers = files, ldap
>
>     I know this is not expected syntax according to IBM’s netsvc.conf
>     documentation, but sudo requires it to work with ldap. According
>     to sudo’s documentation it uses that line on netsvc.conf to
>     emulate what sudo would expect to find on /etc/nsswitch.conf on a
>     Linux machine [hack much?].
>
>     (5) Create a file called /etc/ldap.conf . This has nothing to do
>     with the /etc/security/ldap/ldap.cfg file you use to configure
>     AIX’s LDAP, this is OpenLdap’s config only used by sudo. Don’t
>     worry, this won’t conflict with AIX’s LDAP functionality.
>
>     Add this to your /etc/ldap.conf:
>
>     tls_cacert /etc/ipa/ca.crt
>
>     uri ldap://youripaserver.domain.com <ldap://youripaserver.domain.com>
>
>     binddn uid=sudo,cn=sysaccounts,cn=etc,dc=domain,dc=com
>
>     bindpw yourclientpassword
>
>     sudoers_base ou=sudoers,dc=domain,dc=com
>
>     (6) Create a directory called /etc/ipa and download your ca
>     certificate file and place it there. Make sure to permission the
>     directory 755 and the ca.crt file 644.
>
>     (7) And that’s pretty much it, no need to edit a single line on
>     /etc/sudoers. The /etc/sudoers file I have on my LPARs is the one
>     that comes with the rpm, unchanged.
>
>     Log into your LPAR with a domain user and try running “sudo -l”,
>     it should output the sudo rules you set on the IPA server.
>
>     I hope this helps you and other AIX client users out there.
>
>
> Would you mind creating a howto page on the IPA wiki?
>
> Atenciosamente/Best Regards
>
> *__________________________________________*
>
> *Luiz Fernando Vianna da Silva*
>
> ITM-I - Operação Cielo
>
> +55 (11) 3626-7126
>
> luiz.vianna at tivit.com.br <mailto:luiz.vianna at tivit.com.br>
>
> *T I V I T
> **
> *Av. Maria Coelho Aguiar, 215 - Bloco D - 5˚ Andar
>
> São Paulo - SP - CEP 05804-900
>
> www.tivit.com.br <http://www.tivit.com.br/>
>
> Esta mensagem, incluindo seus anexos, tem caráter confidencial e seu 
> conteúdo é restrito ao destinatário da mensagem. Caso você a tenha 
> recebido por engano, queira, por favor, retorná-la ao destinatário e 
> apagá-la de seus arquivos. Qualquer uso não autorizado, replicação ou 
> disseminação desta mensagem ou parte dela é expressamente proibido. A 
> TIVIT não se responsabilizará pelo conteúdo ou pela veracidade desta 
> informação.
>
> *De:*Yves Degauquier [mailto:yves at degauquier.net]
> *Enviada em:* quarta-feira, 1 de abril de 2015 14:03
> *Para:* Luiz Fernando Vianna da Silva
> *Assunto:* Re: [Freeipa-users] FreeIPA integration with AIX and sudo
>
> Hi Luiz,
>
> I was not able to make it running, I was a bit lost with the LDAP, 
> PAM, LAM configuration, and didn't found any idea with Google...
>
> If you can share the solution or point me to some important point to 
> do, I will be happy.
>
> Thanks in advance,
>
> Best regards,
>
> Yves
>
> On 01/04/15 18:57, Luiz Fernando Vianna da Silva wrote:
>
>     Hello Yves.
>
>     I was browsing the mailing list archives and found your email from
>     December 2013
>     (https://www.redhat.com/archives/freeipa-users/2013-December/msg00083.html).
>
>     I have successfully found a way to have sudo on AIX work with the
>     sudo rules on IPA, just like Linux clients.
>
>     Give me a reply if you haven’t figured out a way to make this work
>     and I’ll send you the solution I came up with.
>
>     Atenciosamente/Best Regards
>
>     *__________________________________________*
>
>     *Luiz Fernando Vianna da Silva*
>
>     ITM-I - Operação Cielo
>
>     +55 (11) 3626-7126
>
>     luiz.vianna at tivit.com.br <mailto:luiz.vianna at tivit.com.br>
>
>     *T I V I T
>     **
>     *Av. Maria Coelho Aguiar, 215 - Bloco D - 5˚ Andar
>
>     São Paulo - SP - CEP 05804-900
>
>     www.tivit.com.br <http://www.tivit.com.br/>
>
>     Esta mensagem, incluindo seus anexos, tem caráter confidencial e
>     seu conteúdo é restrito ao destinatário da mensagem. Caso você a
>     tenha recebido por engano, queira, por favor, retorná-la ao
>     destinatário e apagá-la de seus arquivos. Qualquer uso não
>     autorizado, replicação ou disseminação desta mensagem ou parte
>     dela é expressamente proibido. A TIVIT não se responsabilizará
>     pelo conteúdo ou pela veracidade desta informação.
>
>
>
> -- 
> Thank you,
> Dmitri Pal
>   
> Sr. Engineering Manager IdM portfolio
> Red Hat, Inc.


-- 
Thank you,
Dmitri Pal

Sr. Engineering Manager IdM portfolio
Red Hat, Inc.

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listman.redhat.com/archives/freeipa-users/attachments/20150406/478fc1e2/attachment.htm>

More information about the Freeipa-users mailing list