Однажды я начал настраивать Linux-сервер для использования нашей Active Directory для входа в систему, и я получил его, чтобы я мог войти в систему как я, а затем работать на сервере, и SU для root, чтобы вносить системные изменения, используя локальный корень сервера. пароль.
Однако частью нашего плана было не иметь отдельных учетных записей root на каждом сервере с паролями, которые необходимо отслеживать и обновлять.
Как это обойтись? Может ли root быть централизованной учетной записью AD, такой как учетная запись администратора Windows? Могут ли пользователи без полномочий root получить права root таким образом, чтобы это не было уловкой?
Вы можете создать привилегии root на основе групп LDAP с помощью sudo (см. инструкция для примеров). Вы даже можете хранить свой конфигурация sudo в LDAP.
См. Этот вопрос. Debian и LDAP для sudo
Однако следует подумать о том, как вы сможете выполнять обслуживание и / или восстановление системы. (На данный момент службы LDAP / AD еще не запущены в локальной системе, поэтому root не сможет пройти аутентификацию.)