將 LDAP 組文件的權限授予特定使用者

情況如下：

• 我希望使用者usr在系統中的任何位置都具有組grp的相同權限。
• grp不是本地組，它來自我無法控制的 LDAP 伺服器。

我對 Linux 沒有太多經驗，所以我做了一些研究，發現了兩種可能的方法來實現這一點：

• 創建一個同名的本地組，並使usr成為其中的一部分。但是，我不太確定這將如何影響來自原始grp的遠端使用者。我是否需要更改 NSS 配置文件才能使其正常工作？在這種情況下，配置應該是什麼？
• 使用 ACL 授予usr權限。我的問題是它看起來有點複雜。據我所知，沒有自動的方法來做我想做的事，我必須製作一個遍歷文件系統的腳本，檢查每個文件和目錄的組權限，然後給usr相同的權限。我是否遺漏了什麼，或者這將是唯一的方法？

不修改 LDAP 數據庫就無法完成。您可以將本地使用者添加到 LDAP 組，但必須在 LDAP 伺服器上完成。

問題是本地組和 LDAP 組是不同的“世界”。可以將系統配置為同時使用兩者，但其中一個是主要的，另一個是次要的。如果在主要來源中找到某些內容，則不會詢問次要來源。這使您的第一種方法不可行：本地grp會使 LDAP 組黯然失色（或者，如果 LDAP 是主要的，它會完全被忽略）。

第二種方法可以工作，但是，正如您所說：複雜、資源廣泛（遍歷文件系統會產生大量 IO）、脆弱，並且更像是一種 hack，而不是實際的解決方案。

我認為最好的方法是讓 LDAP 伺服器的管理員將使用者包含在grp組中。另外，我在這裡可能錯了，但對我來說感覺像是一個XY 問題。

引用自：https://serverfault.com/questions/1061113