我应该在每台计算机上管理LDAP中的Linux组吗?

前端之家收集整理的这篇文章主要介绍了我应该在每台计算机上管理LDAP中的Linux组吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我目前正在运行一个OpenLDAP服务器来管理我的 Linux用户作为posixaccount和posixgroup元素,如下所示:
dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top

dn: cn=shellinger,ou=people,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...

现在,除了主要组,Linux Group成员资格在每台计算机上进行本地管理.这有效,但我认为无法实现集中用户管理的目的.

我想我想要的是根据他们登录的机器为我的用户分配不同的组.通常我的用户在我的所有机器上都有用,所以我认为登录限制(基于主机或某个组)对我的用例来说太粗糙了.我想限制他们在每台机器上可以做什么,而不是他们可以登录;在我的心态中,它转化为他们所在的Linux群体.

此外,对于每台计算机上的每个用户,这些组(以及这样的权限)可能会有很大差异,在一台计算机上具有超级用户权限的人可以在下一个计算机上成为常规用户.

在我的外行人看来,这听起来像基于角色的小组分配,但在将我的整个LDAP词汇量扔到谷歌和服务器故障后,我似乎仍然无法理解这一点.

总结一下,问题是:我的用例是否有效?我是以正确的方式来做这件事的吗?我应该在LDAP中管理Linux组吗?

解决方法

通常,应该像用户一样集中管理组成员身份.

但是,当你谈到需要获得超级用户权限的用户时,它会让我觉得你在每台机器上分别管理su轮.这是可以接受的,但有点单调乏味,特别是如果你有多个服务器都应该以相同的方式行事.

您可以更改pam_wheel使用的组或具有多个pam_wheel条目(每次在/etc/pam.d/su中使用不同的选项,但更好的选择是使用sudo并将其与LDAP集成.Sudo将为您提供更好的选择 – 每个服务器的粮食控制,LDAP将适当地分配它.

一些发行版将sudo和sudo-ldap分开.

猜你在找的Linux相关文章