我创建了一个 LDAP 环境,并尝试在 LDAP 服务器中设置一个组,该组在使用此 ldap 服务器的所有其他 Linux 机器中具有 SU 权限。
dn: cn=superfriends,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: GNAME
gidNumber: GIDNum
我使用命令添加它ldapadd。我应该添加什么属性?或者这种方法完全错误?我是新手,请帮忙。
答案1
首先,我将停止使用 su 来提供 root 访问权限。
出于各种原因,我会立即改用 sudo。其中一个优点是,root 密码不会暴露,而且可以很好地配置,允许用户像 root 用户一样运行或限制所需的命令子集。您也可以通过组提供访问权限。
之前一家公司做过的一件事是重新编译原有的 sudo,使其具有 LDAP 访问功能。我相信这是一个编译选项。然后,我们不再在每个系统上都使用 /etc/sudoers 文件,而是使用包含与 sudoers 文件基本相同元素的 LDAP 子树来全局控制访问。