我目前正在运行一个 OpenLDAP 服务器,将我的 Linux 用户作为 posixaccount 和 posixgroup 元素进行管理,如下所示:
dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top
dn: cn=shellinger,ou=people,dc=company,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...
目前,除了主要组之外,Linux 组成员资格在每台机器上本地管理。这可行,但我认为违背了集中用户管理的目的。
我思考我想要的是根据用户登录的机器为他们分配不同的组。通常,我的用户在我的所有机器上都有有用的业务,因此我认为登录限制(基于主机或某个组)对于我的用例来说太粗略了。我想限制他们在每台机器上可以做什么,而不是他们是否可以登录;在我看来,这转化为他们属于哪些 Linux 组。
此外,这些组(以及权限)对于每台机器上的每个用户来说可能有很大差异,一台机器上具有超级用户权限的人可能是另一台机器上的普通用户。
用我的外行人的话来说,这听起来像是基于角色的组分配,但在将我的整个 LDAP 词汇表放到 Google 和 serverfault 上之后,我似乎仍然无法理解这一点。
总结一下,问题是:我的用例有效吗?我这样做对吗?我是否应该在 LDAP 中管理 Linux 组?
答案1
一般来说,群组成员资格应该像用户一样进行集中管理。
但是,当您谈到用户需要超级用户权限时,这让我觉得您在每台机器上分别进行管理wheel。su这是可以接受的,但有点繁琐,特别是如果您有多台服务器,并且它们都应该以相同的方式运行。
您可以更改使用的组pam_wheel或拥有多个 pam_wheel 条目(每次都有不同的选项/etc/pam.d/su,但更好的选择是使用sudo并将其与您的 LDAP 集成。Sudo 将为您提供每个服务器的更细粒度的控制,LDAP 将适当地分配它。
一些发行版将 sudo 和 sudo-ldap 分开。