FreeIPAでwheelグループをやってみた
何度か前にFreeIPAでwheelグループを作成できそうと書いたが、実際にやってみた。
FreeIPAの管理コンソールで確認したところグループの作成時、GIDは自動的に生成され、wheel(10)に固定することはできない。また、通常では、ユーザーに対するグループはFreeIPAで定義されたグループしか使えないため、こちらもwheelにすることはできない。で、一見wheelを使うのは無理そうに見える。
しかし、よく確認すると、ユーザーの編集で、「保護されたフィールドの編集」というチェックボックスがあり、( ipa-server-1.2.1-1.fc10.x86_64 で確認。 ) それを編集するとユーザーのGIDを自由に変更できる。
最終的にidコマンドで、
$ id uid=1101(aaa) gid=10(wheel) 所属グループ=10(wheel),1002(ipausers)
と表示される状態で、/etc/pam.d/su 内の
#auth required pam_wheel.so use_uid
をアンコメントしたところ、wheelに加えたIPAユーザーのみがrootにsuできることを確認できた。