Я создал среду LDAP и пытаюсь создать группу на сервере LDAP, которая имеет привилегии SU на всех других машинах Linux, использующих этот сервер ldap.
dn: cn=superfriends,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: GNAME
gidNumber: GIDNum
я добавляю это, используя ldapadd
команда. какой атрибут я должен добавить к этому? Или это совершенно неправильный подход? Я новичок в этом, пожалуйста, помогите.
Во-первых, я бы перестал использовать su для предоставления root-доступа.
Я бы сразу переключился на использование sudo по разным причинам. Один из лучших вариантов заключается в том, что пароль root не раскрывается, и он прекрасно настраивается, чтобы позволить пользователям либо работать как пользователь root, либо ограничить набор необходимых команд. Вы также можете предоставить доступ через группу.
Одна вещь, которая была сделана в предыдущей компании, заключалась в перекомпиляции стандартного sudo, чтобы у него были возможности доступа LDAP. Я считаю, что это вариант компиляции. Затем вместо того, чтобы иметь файл / etc / sudoers в каждой из наших систем, мы контролировали доступ глобально, используя поддерево LDAP, содержащее в основном те же элементы, что и файл sudoers.