我應該在每台機器上管理 LDAP 中的 Linux 組嗎？

我目前正在執行一個 OpenLDAP 伺服器，將我的 Linux 使用者管理為 posixaccount 和 posixgroup 元素，如下所示：

dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top

dn: cn=shellinger,ou=people,dc=company,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...

目前，除了主要組之外，Linux 組的成員資格在每台機器上進行本地管理。這可行，但我認為違背了集中使用者管理的目的。

我想我想要的是根據他們登錄的機器為我的使用者分配不同的組。一般來說，我的使用者在我的所有機器上都有有用的業務，所以我認為登錄限制（基於主機或某個組）對於我的案例來說過於粗略。我想限制他們在每台機器上可以做什麼，而不是他們是否可以登錄；在我看來，這可以轉化為他們所在的 Linux 組。

此外，對於每台機器上的每個使用者，這些組（以及權限）可能大不相同，在一台機器上擁有超級使用者權限的人可以成為下一台機器上的普通使用者。

用我的外行術語來說，這聽起來像是基於角色的組分配，但是在將我的整個 LDAP 詞彙表扔給 Google 和伺服器故障之後，我似乎仍然無法理解這一點。

總結起來，問題是：我的案例有效嗎？我會以正確的方式解決這個問題嗎？我應該在 LDAP 中管理 Linux 組嗎？

一般來說，組成員資格應該像使用者一樣集中管理。

但是，當您談到需要超級使用者權限的使用者時，我覺得您是在單獨管理wheel每台su機器。這是可以接受的，但有點乏味，特別是如果您有多個應該以相同方式執行的伺服器。

您可以更改所使用的組pam_wheel或擁有多個 pam_wheel 條目（每次在 中使用不同的選項/etc/pam.d/su，但更好的選擇是使用sudo它並將其與您的 LDAP 集成。Sudo 將為您提供對每個伺服器的更細粒度的控制，LDAP 將分發它適當地。

一些發行版將 sudo 和 sudo-ldap 分開。

引用自：https://serverfault.com/questions/544527