更新多个sudoers文件

Question

我们有多个Linux服务器对Active域进行身份验证。对于AD中的一个组，我想添加一个命令列表，这些命令允许使用sudo作为root运行。显然，我可以对每台计算机进行ssh-in，并更新需要一些时间的sudoers文件-but。此外，根登录是不允许的。因此，密码较少的登录将只对非根用户有效。

是否有一种快速的方法可以同时更新每台Linux计算机的sudoers文件？我在这里考虑的是一个具有一些系统管理能力的Perl或Python脚本。

更新:谢谢veroteq7和Shane。我曾经考虑过部署cfengine，但我们目前还没有运行它。我们已经决定使用LDAP是最好的解决方案。导入sudo的LDIF模式schema.ActiveDirectory时出错。第144行的错误是“参数不正确”。

这是第144行以后的内容：

dn: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: top
objectClass: classSchema
cn: sudoRole
distinguishedName: CN=sudoRole,CN=Schema,CN=Configuration,DC=X
instanceType: 4
possSuperiors: container
possSuperiors: top
subClassOf: top
governsID: 1.3.6.1.4.1.15953.9.2.1
mayContain: sudoCommand
mayContain: sudoHost
mayContain: sudoOption
mayContain: sudoRunAs
mayContain: sudoRunAsUser
mayContain: sudoRunAsGroup
mayContain: sudoUser
rDNAttID: cn
showInAdvancedViewOnly: FALSE
adminDisplayName: sudoRole
adminDescription: Sudoer Entries
objectClassCategory: 1
lDAPDisplayName: sudoRole
name: sudoRole
schemaIDGUID:: SQn432lnZ0+ukbdh3+gN3w==
systemOnly: FALSE
objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,DC=X
defaultObjectCategory: CN=sudoRole,CN=Schema,CN=Configuration,DC=X

我使用的命令是：

ldifde -i -f schema.ActiveDirectory -c dc=X dc=DOMAINNAME,dc=LOCAL

Update2:我创建了一个新的问题。谢谢大家的建议。

Answer 1

为什么不放弃/etc/sudoers和使用AD (LDAP)作为您的sudoers商店？-更多的信息这里。

您已经在针对AD进行身份验证，因此这只是下一个逻辑步骤，并为您提供了一个处理身份验证和授权的方便、集中的位置。

Answer 2

配置管理工具怎么样？木偶、厨师、CFEngine等等？

Answer 3

你可以在sudoers中定义组..。并将这些组从中央认证库中提取出来..。比如Active Directory。我喜欢将域管理员放在我的sudoers文件中。省去了很多头痛。