授予特定用户 LDAP 组文件的权限

授予特定用户 LDAP 组文件的权限

情况如下:

  • 我想要用户用户拥有与组相同的权限,在系统中的任何位置。
  • 不是本地组,它来自 LDAP 服务器,我无法控制它。

我对 Linux 没有太多经验,因此我做了一些研究并找到了两种可能的方法来实现此目的:

  • 创建同名的本地组并用户一部分。但是,我不太确定这会对来自原始。我需要更改 NSS 配置文件才能使其正常工作吗?在这种情况下,配置应该是什么?
  • 使用 ACL 给予用户权限。我的问题是它看起来有点复杂。据我所知,没有自动的方法可以做我想做的事情,我必须编写一个脚本来遍历文件系统,检查每个文件和目录的组权限,然后给出用户相同的权限。我是否遗漏了什么,或者这是唯一的方法?

答案1

如果不修改 LDAP 数据库,则无法完成此操作。您将本地用户添加到 LDAP 组,但必须在 LDAP 服务器上完成。

问题是本地组和 LDAP 组是不同的“世界”。系统可以配置为同时使用两者,但其中一个将是主源,另一个将是次源。如果在主源中发现某些内容,则不会询问次源。这使得您的第一种方法行不通:本地将会掩盖 LDAP 组(或者,如果 LDAP 是主要的,它将被完全忽略)。

第二种方法可以奏效,但是,正如您所说:复杂、资源密集(遍历文件系统会产生大量 IO)、脆弱,并且更像是黑客攻击而不是真正的解决方案。

我认为最好的办法是要求 LDAP 服务器的管理员将用户纳入组。另外,我可能错了,但感觉就像一个XY问题大部头书。

相关内容