我有多个虚拟化服务器,所有服务器都配置为使用 LDAP 作为其密码/影子(在nsswitch.conf)和身份验证 (PAM)。
我希望拥有一组易于配置的用户,他们能够读取任何服务器上的日志。这意味着他们需要成为特定发行版补充组的成员(例如,systemd-journal基于 systemd 的发行版、admDebian 等)。
我的一个想法是在 LDAP 中创建一个名为例如的网络组。log-reading-users这将代表用户集。我配置nsswitch.conf为从 LDAP 获取网络组。
然后我尝试将它们添加到组中,/etc/group如下所示:
adm:x:4:+@log-reading-users
但这没有用。
然后我尝试使用/etc/security/group.conf:
# group.conf
*;*;@log-reading-users;Al0000-24000;adm
并在末尾添加/etc/pam.d/common-auth:
auth optional pam_group.so
它确实适用于带密码的ssh、login和su,但是当从 root 使用sudo、su且无需密码时,或者当 cron 正在运行用户的 crontab 条目时,不会添加补充组 ID。
有一个更好的方法吗?也许有initgroupsin 的东西nsswitch.conf?