我的 usermod 版本似乎不支持 LDAP,所以当我运行
usermod -g <group> <username>
我收到用户名不存在的错误。有其他方法可以切换我的主要组吗?
答案1
除非您设置了正确的工具,否则您将无法从 LDAP 客户端更改用户的主 GID。您需要通过修改gid用户对象的属性(或您的架构用于存储主 GID 的任何属性)来对 LDAP 服务器本身进行更改。
答案2
是的,你必须改变属性gid编号在用户的 LDAP 条目中,如用户 jayhendren 所说。
但我希望 LDAP 服务器上有适当的访问控制,以便用户不能自己更改他们的主要 GID。
否则,用户可以将自己添加到任何获得 Linux 系统权限的组中,从而有效地规避安全控制。
我的建议是...
- 为所有用户分配一个 GID,并建议每个人都不要为其分配任何权利/权限,或者...
- 设置仅供用户使用的 GID,不在其他地方使用