Linux

將 LDAP 組文件的權限授予特定使用者

  • April 21, 2021

情況如下:

  • 我希望使用者usr在系統中的任何位置都具有組grp的相同權限。
  • grp不是本地組,它來自我無法控制的 LDAP 伺服器。

我對 Linux 沒有太多經驗,所以我做了一些研究,發現了兩種可能的方法來實現這一點:

  • 創建一個同名的本地組,並使usr成為其中的一部分。但是,我不太確定這將如何影響來自原始grp的遠端使用者。我是否需要更改 NSS 配置文件才能使其正常工作?在這種情況下,配置應該是什麼?
  • 使用 ACL 授予usr權限。我的問題是它看起來有點複雜。據我所知,沒有自動的方法來做我想做的事,我必須製作一個遍歷文件系統的腳本,檢查每個文件和目錄的組權限,然後給usr相同的權限。我是否遺漏了什麼,或者這將是唯一的方法?

不修改 LDAP 數據庫就無法完成。您可以將本地使用者添加到 LDAP 組,但必須在 LDAP 伺服器上完成。

問題是本地組和 LDAP 組是不同的“世界”。可以將系統配置為同時使用兩者,但其中一個是主要的,另一個是次要的。如果在主要來源中找到某些內容,則不會詢問次要來源。這使您的第一種方法不可行:本地grp會使 LDAP 組黯然失色(或者,如果 LDAP 是主要的,它會完全被忽略)。

第二種方法可以工作,但是,正如您所說:複雜、資源廣泛(遍歷文件系統會產生大量 IO)、脆弱,並且更像是一種 hack,而不是實際的解決方案。

我認為最好的方法是讓 LDAP 伺服器的管理員將使用者包含在grp組中。另外,我在這裡可能錯了,但對我來說感覺像是一個XY 問題

引用自:https://serverfault.com/questions/1061113