アクセス制御ポリシーを設計する際に、ユーザー グループを頻繁に使用しました。ユーザー グループは、 で簡単に実装できるため、非常に便利だと感じていますPAM。
ユーザーをさまざまなグループにまとめたもう 1 つの理由は、(最小限の) RBAC を実装するためです。しかし、sudoers(私が働いている会社の) ファイルを見ると、グループを使用する代わりにさまざまなグループで構成されていることがわかりました。またはUser_Aliasを使用する理由はわかりましたが、私の質問は次のとおりです。Command_AliasHost_Alias
User_Aliasの代わりにを使用するのはなぜですかgroups?- エイリアスを使用する代わりにグループを使用することは良いことでしょうか、それとも悪いことでしょうか?
答え1
特定のユーザーにもっと多くの(またはもっと少ない)権限を与えたいが、新しいグループを作成する必要がないUser_Alias場合%group(ユーザーが 1 人だけの場合や、ユーザーが一時的に存在していて特定のグループを作成する必要がない場合など)には、 の代わりに を使用するとよいでしょう。これは、Linux で設定できるもう 1 つのオプションです。これを使用して間違いはありません。