曾几何时,我开始着手让Linux服务器使用我们的Active Directory进行login,我得到它,以便我可以自己login,然后在服务器上工作,然后使用SU根来使用服务器的本地根进行系统更改密码。
但是,我们想要的计划的一部分是在每台服务器上都不要有需要跟踪和更新密码的单独的root帐户。
这是什么方法? 根可以像一个Windowspipe理员帐户的集中AD帐户? 非超级用户可以以非微不足道的方式获得root权限吗?
您可以使用sudo根据LDAP组创buildroot权限(请参阅手册中的示例 )。 您甚至可以将您的sudoconfiguration存储在LDAP中 。
看到这个问题。 Debian和LDAP的sudo
但是,需要考虑的是如何执行系统维护和/或恢复。 (此时LDAP / AD服务尚未在本地系统上运行,因此root将无法进行身份validation。)