Sim*_*ger 6 linux openldap ldap user-management
我目前正在运行 OpenLDAP 服务器,将我的 Linux 用户作为 posixaccount 和 posixgroup 元素进行管理,如下所示:
dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top
dn: cn=shellinger,ou=people,dc=company,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...
现在,除了主要组之外,Linux 组成员资格在每台机器上本地管理。这有效,但我认为违背了集中用户管理的目的。
我想我想要的是根据他们登录的机器为我的用户分配不同的组。通常我的用户在我所有的机器上都有有用的业务,所以我认为登录限制(基于主机或某个组)对于我的用例来说太粗粒度了。我想限制他们在每台机器上可以做什么,而不是他们是否可以登录;在我的心态中,这转化为他们所在的 Linux 组。
此外,每台机器上的每个用户的这些组(以及权限)可能有很大不同,在一台机器上拥有超级用户权限的人可以成为下一台机器上的普通用户。
用我的外行术语来说,这听起来像是基于角色的组分配,但是在将我的整个 LDAP 词汇表扔给 Google 和 serverfault 之后,我似乎仍然无法理解这一点。
总结起来,问题是:我的用例有效吗?我会以正确的方式解决这个问题吗?我应该在 LDAP 中管理 Linux 组吗?
一般来说,组成员身份应该像用户一样进行集中管理。
但是,当您谈论需要超级用户权限的用户时,这让我认为您正在分别管理wheel每台su计算机。这是可以接受的,但有点乏味,特别是如果您有多个服务器,并且它们的行为方式都应该相同。
您可以更改所使用的组pam_wheel或拥有多个 pam_wheel 条目(每次在 中使用不同的选项/etc/pam.d/su,但更好的选择是使用sudo它并将其与您的 LDAP 集成。Sudo 将为您提供每个服务器更细粒度的控制,LDAP 将分发它适当地。
某些发行版将 sudo 和 sudo-ldap 分开。