历史悠久:我们有一堆linux服务器。
许多用户使用Linux桌面。 他们使用它们作为testing服务器。
所有的基础架构都有由Quest Auth Services链接的身份validation服务。 这使我们可以selectlogin脚本,启动脚本和其他东西。
SUDOpipe理是一个有趣的select。 我们可以通过GPO政治编辑sudoers文件。
现在,我们正在使用CIF和NFS映射function从Hitachi部署NAS服务器。
服务器由ITpipe理,除了我们,任何人都不能成为根。
桌面用户也将挂载NFS共享,以便他们能够使用真实数据并从服务器读取自己的数据。
桌面用户可以去sudo su。
如果桌面用户从root用户转到另一个用户,NFS可以让他们像其他用户那样工作。
我想阻止他们交换用户,但只有AD用户之间,他们必须能够切换到Apache用户或postgres用户。
我错过了一些东西,或者这会变得棘手?
有人可以帮我一个这个想法吗?
非常感谢。
我不完全确定,我在这里有确切的问题,但让我试试。 将/ etc / sudoers文件更改为: –
%user ALL=(apache,postgres) ALL 所以任何组用户的成员都可以运行任何东西作为apache或postgres用户。 所以命令
sudo -u apache -i
会更改为用户组中的用户到apache用户。 但是他们将无法更改为活动目录域中的每个人。
Decado指出了一个很好的方法。
但是用户将能够进入root,在grub上进入/ bin / sh并执行任何他们喜欢的操作。 所以…把他们放在sudoers上是毫无意义的,唯一的办法就是用cif去文件共享。 所以我们会做。
谢谢。