我有一个活动目录域,其中有几台 Linux 服务器通过 sssd 与 AD 交互。我想在不同的服务器上使用不同的 sudoers 配置,我知道这可以通过网络组来实现。到目前为止,我已设法通过在 AD 中添加 nisNetgroup 对象并将服务器添加到该对象的 nisNetgroupTriple 属性(并在 sssd.conf 中设置 ldap_netgroup_search_base 选项)将一些服务器纳入网络组。因此,我可以使用 getent 在 Linux 服务器上成功查询网络组:
$ getent netgroup <name>
<name> (<server>.<domain>,,)
更改网络组成员身份是通过修改 nisNetgroup 对象的 nisNetgroupTriple 属性来完成的。这意味着具有修改对象权限的用户可以将任何服务器放入网络组中。我想进一步锁定这一点,例如通过使用标准 AD 组,其中用户需要具有修改组和计算机帐户的权限才能将计算机添加到组中。是否可以让 sssd 使用标准 AD 组作为网络组?