如何将所有网络组成员添加到组中

如何将所有网络组成员添加到组中

我有多个虚拟化服务器,所有服务器都配置为使用 LDAP 作为其密码/影子(在nsswitch.conf)和身份验证 (PAM)。

我希望拥有一组易于配置的用户,他们能够读取任何服务器上的日志。这意味着他们需要成为特定发行版补充组的成员(例如,systemd-journal基于 systemd 的发行版、admDebian 等)。

我的一个想法是在 LDAP 中创建一个名为例如的网络组。log-reading-users这将代表用户集。我配置nsswitch.conf为从 LDAP 获取网络组。

然后我尝试将它们添加到组中,/etc/group如下所示:

adm:x:4:+@log-reading-users

但这没有用。

然后我尝试使用/etc/security/group.conf

# group.conf
*;*;@log-reading-users;Al0000-24000;adm

并在末尾添加/etc/pam.d/common-auth

auth    optional            pam_group.so

它确实适用于带密码的sshloginsu,但是当从 root 使用sudosu且无需密码时,或者当 cron 正在运行用户的 crontab 条目时,不会添加补充组 ID。

有一个更好的方法吗?也许有initgroupsin 的东西nsswitch.conf

相关内容