我目前正在运行一个OpenLDAP服务器pipe理我的Linux用户,如posixaccount和posixgroup这样的元素:
dn: cn=shellinger,ou=groups,dc=company,dc=com cn: shellinger gidNumber: 5001 objectClass: posixGroup objectClass: top dn: cn=shellinger,ou=people,dc=company,dc=com cn: Simon Hellinger uid: shellinger uidNumber: 5001 gidNumber: 5001 objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: top ... 现在,除了主要组,Linux组成员在每台机器上都是本地pipe理的。 这工作,但我认为打败了集中用户pipe理的目的。
我想我想要的是分配给我的用户不同的组,取决于他们login的机器。 一般来说,我的用户在我的所有机器上都有一些有用的业务,所以我相信login限制(基于主机或某个组)对于我的用例来说太粗糙了。 我想限制他们可以在每台机器上做什么,而不是如果他们可以login; 并以我的心态转化为他们所在的Linux团队。
而且,对于每台机器上的每个用户,这些组(也就是这样的权限)可能会有很大的不同,在一台机器上拥有超级用户权限的人可能是下一个用户。
用我的外行人来说,这听起来像是基于angular色的小组任务,但是在把我的整个LDAP词汇扔到Google和serverfault之后,我似乎还是无法理解这一点。
总结一下,问题是:我的用例是否有效? 我正在以正确的方式进行吗? 我应该在LDAP中pipe理Linux组吗?
一般来说,组织成员应像用户一样集中pipe理。
然而,当你谈论用户需要成为超级用户权限的时候,这让我觉得你是分别在每台机器上pipe理su wheel 。 这是可以接受的,但有点乏味,特别是如果你有多个服务器应该都是相同的方式。
您可以更改pam_wheel使用的组或者有多个pam_wheel条目(每次在/etc/pam.d/su使用不同的选项),但是更好的select是使用sudo并将其与LDAP集成.Sudo会为您提供更精细的configuration,谷物控制每个服务器,LDAP将适当分配它。
一些发行版将sudo和sudo-ldap分开。