короче длинная история: - у нас есть куча серверов linux.
многие пользователи работают с настольными компьютерами Linux. Они используют их как тестовые серверы.
Вся инфраструктура имеет службы аутентификации, связанные с помощью служб аутентификации Quest Auth Services и AD. Это дает нам возможность сценариев входа в систему, сценариев запуска и прочего.
Один интересный вариант, который дает нам этот Quest, - это управление СУДО. Мы можем редактировать файл sudoers политикой GPO.
Сейчас мы развертываем NAS-сервер Hitachi с возможностями сопоставления cifs и NFS.
Серверы управляются ИТ, поэтому никто не может получить root права, кроме нас.
Пользователи настольных компьютеров также будут монтировать общие ресурсы NFS, чтобы они могли работать с реальными данными и читать свои собственные данные с серверов.
Пользователи настольных компьютеров могут использовать sudo su.
Если пользователи настольных компьютеров переходят от root к другому пользователю, NFS позволяет им работать так же, как и другой пользователь.
Я хотел бы, чтобы они не переключали пользователей, но только между пользователями AD они должны иметь возможность переключаться на пользователя apache или пользователя postgres.
Я что-то упускаю или это будет сложно?
Может ли кто-нибудь помочь мне в этом мышлении?
Большое спасибо.
Я не совсем уверен, что именно здесь у меня проблема, но позвольте мне попробовать. Измените файл / etc / sudoers на: -
%user ALL=(apache,postgres) ALL
Таким образом, любой член группы может запускать что угодно как пользователи apache или postgres. Итак, команды
sudo -u apache -i
изменится на человека в группе пользователей на пользователя apache. Однако они не смогут изменить всех в домене активного каталога.
Декадо указал на хороший подход.
Но пользователь сможет зайти в root, на grub зайдя в / bin / sh и делать все, что им нравится. Итак ... резать их на sudoers бессмысленно, единственный способ - перейти на файлообменники по cifs. так и сделаем.
Спасибо.