dn: cn=shellinger,ou=groups,dc=company,dc=comcn: shellingergIDNumber: 5001objectClass: posixGroupobjectClass: topdn: cn=shellinger,ou=people,dc=comcn: Simon HellingeruID: shellingeruIDNumber: 5001gIDNumber: 5001objectClass: inetorgPersonobjectClass: organizationalPersonobjectClass: personobjectClass: posixAccountobjectClass: shadowAccountobjectClass: top...
现在,除了主要组,linux Group成员资格在每台计算机上进行本地管理.这有效,但我认为无法实现集中用户管理的目的.
我想我想要的是根据他们登录的机器为我的用户分配不同的组.通常我的用户在我的所有机器上都有用,所以我认为登录限制(基于主机或某个组)对我的用例来说太粗糙了.我想限制他们在每台机器上可以做什么,而不是他们可以登录;在我的心态中,它转化为他们所在的linux群体.
此外,对于每台计算机上的每个用户,这些组(以及这样的权限)可能会有很大差异,在一台计算机上具有超级用户权限的人可以在下一个计算机上成为常规用户.
在我的外行人看来,这听起来像基于角色的小组分配,但在将我的整个LDAP词汇量扔到谷歌和服务器故障后,我似乎仍然无法理解这一点.
总结一下,问题是:我的用例是否有效?我是以正确的方式来做这件事的吗?我应该在LDAP中管理linux组吗?
解决方法 通常,应该像用户一样集中管理组成员身份.但是,当你谈到需要获得超级用户权限的用户时,它会让我觉得你在每台机器上分别管理su轮.这是可以接受的,但有点单调乏味,特别是如果你有多个服务器都应该以相同的方式行事.
您可以更改pam_wheel使用的组或具有多个pam_wheel条目(每次在/etc/pam.d/su中使用不同的选项,但更好的选择是使用sudo并将其与LDAP集成.Sudo将为您提供更好的选择 – 每个服务器的粮食控制,LDAP将适当地分配它.
一些发行版将sudo和sudo-ldap分开.
总结以上是内存溢出为你收集整理的我应该在每台计算机上管理LDAP中的Linux组吗?全部内容,希望文章能够帮你解决我应该在每台计算机上管理LDAP中的Linux组吗?所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)