曾几何时,我着手让 Linux 服务器使用我们的 Active Directory 进行登录,这样我就可以以自己的身份登录并在服务器上工作,然后以 SU 身份使用服务器的本地 root 密码对系统进行更改。
然而,我们想要的计划的一部分是不要在每台服务器上设置单独的根帐户,并且这些帐户的密码需要跟踪和更新。
有什么办法可以解决这个问题?root 可以像 Windows 管理员帐户一样成为集中式 AD 帐户吗?非 root 用户能否以不费力的方式获得 root 权限?
答案1
您可以使用 sudo 根据 LDAP 组创建 root 权限(请参阅手册示例)你甚至可以存储你的LDAP 中的 sudo 配置。
请参阅这个问题。 Debian 和 LDAP 的 sudo
答案2
不过,需要考虑的是如何执行系统维护和/或恢复。(此时 LDAP/AD 服务尚未在本地系统上运行,因此 root 无法进行身份验证。)