须藤配置 (AEN 4.1.2) ¶
Sudo 配置概览¶
如果您组织的 IT 安全策略不允许 root 访问或对 sudo 的使用有限制,您可以在完成安装后自定义 Anaconda Enterprise Notebook (AEN) 的安装以满足他们的要求。
您的组织可以选择实施以下任何一项或所有措施:
- 删除 AEN 服务帐户的 root 访问权限(注意:这会限制 AEN 管理用户帐户)
- 可配置的 sudo 命令
- 限制对所有进程的 sudo 访问
将文件复制到 AEN 服务器实例后,必须在终端窗口中完成这些自定义。
从 AEN 服务帐户中删除所有 root 访问权限¶
这限制了 AEN 管理用户帐户,因为useradd.
修改/etc/sudoers.d/wakari_sudo为:
默认值:wakari !requiretty,visiblepw
Runas_Alias OP = ALL,!root
wakari ALL=(OP) NOPASSWD: ALL
注意:如果您使用了 wakari 以外的服务帐户名称,则该名称应代替 wakari 出现在上面的文件中。
接下来,修改文件
/opt/wakari/wakari-compute/etc/wakari/config.json,设置为:
"MANAGE_ACCOUNTS" : false ,
注意:使用此选项意味着 IT 部门必须在操作系统级别创建和管理所有用户帐户。存在操作系统级别的帐户后,可能会在 AEN 主网页上创建一个使用相同名称的 AEN 帐户。在 AEN 网页上选择的密码没有以任何方式链接到帐户的操作系统级密码。或者,可以将系统配置为使用 LDAP 对用户进行身份验证。
如果您希望允许公共用户访问项目,则还必须创建一个帐户供公众使用,例如public或
anonymous。创建公众账号并在以下两个配置文件中指定名称:
找到文件/opt/wakari/wakari-compute/etc/wakari/config.json
并修改行:
“ANON_USER” : “公开”
接下来,找到第二个文件
/opt/wakari/wakari-server/etc/wakari/config.json并修改行:
“ANON_USER” : “公开”
该配置文件页面有关于这些配置项的详细信息。
替代 sudo 命令¶
您可以将 AEN 配置为使用 的替代方案sudo,前提是它支持相同的执行语义。
在您的终端窗口中,导航到 AEN 文件,找到该文件
/opt/wakari/wakari-compute/ etc/wakari/config.json
并修改该行:
"AEN_SUDO_CMD" : "/path/to/alternative/sudo" ,
如果备用sudo命令在 上可用,PATH则不需要完整路径。
sudo必须将替代方案配置为授予服务帐户代表 Anaconda Enterprise 用户运行命令的权限。
限制对单个可执行文件的 sudo 访问¶
sudoers默认情况下,该配置允许 Anaconda Enterprise 以特定用户身份运行任何命令。这允许 Anaconda Enterprise 以登录的最终用户身份启动进程。如果需要更严格的控制,首先应该通过合适的sudoers政策来实施。
如果这不可能或不切实际,也可以通过单个网守路由所有 Anaconda Enterprise ID 更改操作。该守门人包装了所需的可执行文件,并提供了一种替代方法来记录、监视或控制 Anaconda Enterprise 可以代表另一个用户启动哪些进程。
此网守是一种特殊情况配置,应仅在需要时使用。
要配置 Anaconda Enterprise 相应地修改
/etc/sudoers.d/wakari_sudo为包含
默认值:wakari !requiretty,visiblepw
Runas_Alias OP = ALL,!root
wakari ALL=(OP) NOPASSWD: /path/to/gatekeeper
找到文件/opt/wakari/wakari-compute/etc/wakari/config.json并修改行:
"AEN_SUDO_SH" : "/path/to/gatekeeper"
该gatekeeper可以简单的脚本,它可以有内容,如:
#!/bin/bash
first_cmd=$1
如果 [ 'bash' == $1 ]; 然后
转移
出口首页=~
导出外壳=/bin/bash
导出 PATH=$PATH:/opt/wakari/anaconda/bin
猛击“$@”
别的
执行 $@
菲