我有大量使用sssd连接到Windows活动目录域进行用户/组查找的Linux主机。 除了一个问题,大部分工作正常。 须藤 从我在testing中发现的任何时候你运行一个sudo命令sudo试图parsing用户所在的所有组的名称。由于sssd只默认cachinggid,并且必须慢速查找名称(假设最近在主机上没有导致sssdcaching组名),这可能会导致sudo命令在很多组中的帐户中暂停45秒,然后才会提示用户input密码以继续sudo命令。 从我的testing中,这个组名parsing发生,无论是否有适用于使用他们的组的用户的sudo规则。 我已经testing了在sudo.conf中改变group_source值,但是这似乎没有太大的影响。 从大多数组中删除我们的所有用户并不是一个真正的select(基础设施安全决定,我无法控制),所以我留下来试图find一种方法来阻止sudo暂停一段时间,而所有的组ID被抬起头来。 到目前为止唯一的解决scheme是每隔15分钟运行一次cronjob来做一些像getent group一样的事情,让sssd不断地将组名caching在内存中,但这似乎是一个黑客修复。 所以我希望在这种情况下网上有人可能有更好的解决scheme来加速sudo?
我知道我可以使用户在本地的Windows服务器上的pipe理员,该用户可以创build本地用户和本地组。 但是,如果我只想给用户创build本地组的能力呢? 有没有一个旋钮,我可以转而委派这个能力,而不给予用户完全的pipe理员能力?
现在研究这个话题已经有一段时间了,下面是我迄今从微软发现的两个事实,接下来是一大堆问题。 在Exchange 2007中,应该为通讯组使用通用组。 全局和域本地组仍可在迁移时使用,但不build议使用。 因为通用组的成员存储在全局编录中,所以在使用通用组时,应特别小心,尤其是在成员经常更改时,因为任何更改都会导致在全局编录服务器之间复制组成员的整个列表。 第三个我还没有find的事实是第一个问题: 1)为了避免任何问题,分销组build议的最佳做法是什么? 成员应该如何组织? 我们的想法是将最终的邮件收件人组织成全局组(安全性,不支持邮件),只将全局组放入通用组(分发,启用邮件)。 一些旧的组织已经以这种方式组织,当Exchange 2007暴露了一个阻止邮件分发给全局组成员的错误。 解决方法是邮件启用全局组。 AFAIK这个错误是固定的。 2)这种做法是否有其他利弊(接受者 – >全球 – >普遍性)? 为了给出一些数字,我们正在讨论不同国家的十几个域控制器,每个域控制器都是一个全局编录服务器,大约有700个通讯组,最多有几百个收件人。 3)什么是你应该开始担心的经验法则? 是否有任何信息可用于根据不同的操作来估算全局编录之间的复制stream量?
我试图在OpenSolaris中实现以下设置ZFS卷上的权限(使用CIFS共享)。 有些用户应该属于sysusers组,他们可以访问/ tank / storage ZFS卷中的所有内容。 另外还有以下几组: 开发人员 – 开发人员媒体 – 只能访问特定文件夹的媒体用户accnt – 只能访问其文件的会计人员 我想也许是创build上面的组,然后是sysusers组,然后将上面的所有组添加到sysusers组中 – 这又会将sysgroup中的所有用户添加到全局访问中。 这适合吗? 另一个问题是我试图做到这一点: # pfexec groupadd media # pfexec chown media:media /tank/media/assets 但我得到以下内容: # pfexec chown media:media /tank/media/assets chown: `media:media': invalid user 我很困惑,我是不是应该在创build它的时候看到“媒体”? 我试图联系工作人员,但它说: chown: `staff': invalid user 我试图按照这里的方向,特别是关于“为音乐,照片和video创build媒体文件系统”的部分。 我被困在“chown media:media / tank / media / music”。 我很困惑 :(
我正在尝试为一些公司项目设置Jira,还有一些个人项目,而且我遇到了许多困惑。 运行Jira服务器的人是否能够给我一个设置公司项目(一群人将在项目中工作的最有效方式)的基本概要,以及一个个人项目(只有我自己,也许只有一个人人会在这个项目上工作)? 任何帮助,或者一个非常基本的“最佳实践”指南Jira权限将是非常有益的。 非常感谢
在Server 2003中: 我想在服务器上创build一个预先存在的本地组的副本,然后修改其用户。 我怎样才能制作一个组的副本? (当然有一个新的名字) 或者,有没有办法将所有用户从一个组复制到另一个组?
我为我们的Windows XP用户设置了一个新的组策略,但现在当他们运行一个程序的链接时,他们得到一个信任框,他们必须点击“运行”。 我认为它是一个值得信赖的位置的东西,即映射驱动器等是否有一个快速的方法来阻止这种情况发生? 任何帮助将非常感激。 问候 斯科特
处理yum组依赖的最佳方法是什么? 例如,拿这个comps.xml文件 <comps> <group> <id>production</id> <name>Production</name> <default>true</default> <description>Packages required to run</description> <uservisible>true</uservisible> <packagelist> <packagereq type="default">ssh</packagereq> </packagelist> </group> <group> <id>development</id> <name>Development</name> <default>false</default> <description>Packages required to develop</description> <uservisible>true</uservisible> <packagelist> <packagereq type="default">gcc</packagereq> </packagelist> </group> </comps> 与createrepo -g comps.xml x86_64一起打包。 ssh和gcc rpms未安装在x86_64目录中。 如果我运行yum groupinstall development ,yum足够聪明,可以从RHEL仓库中取出gcc软件包,即使这些组是在我的内部仓库中定义的。 但是,这是这样做的正确方法,或者我应该复制到我的本地存储库的RPM,并重新创build回购?
我正在运行FTP守护进程VSFTPD。 我想通过将用户添加到组来控制FTP访问,以使只有定义组的成员才能访问FTP服务。 我想我可以通过修改/etc/pam.d/vsftpd来做到这一点,但不知道如何开始。 或者这只适用于VSFTPD中的虚拟用户? 我知道user_list,这似乎并不支持组。 这不提供我正在寻找的function,这是上面描述的。 如果我错了,虽然这会很好。
当组“G”的一部分的用户“U”用FTP上传新文件到服务器时,权限被设置为U:U而不是U:G。 我知道用户也是他自己的组“U”的一部分,但我怎么让他们上传一个文件与组“G”。 我没有看到任何FTP软件。 谢谢