我已经通过 sssd 实现了 AD 集成,其中登录的用户是两个 AD 组之一的成员。他们能够通过 ssh 进入服务器,如果这是他们的首次登录,他们将被授予访问权限,其主目录被强制为 /home/%d/%u。这按预期工作,现在我想根据他们的 AD 组成员身份自动将这些用户分配到 ubuntu 中的本地 linux 组。最初,需要将一个组添加到单个组 (www-data),而第二个组需要访问 www-data 和 sudo 组。由于这是初步尝试,我将其保持简单,但这将不断扩展,我想避免必须手动将这些用户添加到组中,目前这样做是可行的。
AD 组的成员身份是动态的,因此,对组的任何更改都应在本地反映出来。是否存在我错过的各种 sssd、kerberos 教程的机制?我考虑过使用每小时运行一次的 cron 脚本来轮询更改,但如果 sssd/pam/kerberos 配置中已经存在某些内容,我想利用它。
答案1
问题似乎可以通过使用 setfacl 得到解决,它允许我添加 AD 组并授予适当的权限。Sudo 似乎也可以通过在 /etc/sudoers.d/ 中添加配置条目来解决