sssd でアクティブ ディレクトリ グループをネットグループとして使用する

sssd でアクティブ ディレクトリ グループをネットグループとして使用する

私は、sssd を介して AD とやり取りする少数の Linux サーバーを含む Active Directory ドメインを持っています。サーバーごとに異なる sudoers 構成を設定したいのですが、これはネットグループを介して実行できることがわかっています。これまでのところ、AD に nisNetgroup オブジェクトを追加し、そのオブジェクトの nisNetgroupTriple 属性にサーバーを追加することで (そして sssd.conf で ldap_netgroup_search_base オプションを設定することで)、いくつかのサーバーをネットグループに追加できました。その結果、getent を使用して Linux サーバーでネットグループを正常に照会できるようになりました。

$ getent netgroup <name>
<name>         (<server>.<domain>,,)

ネットグループ メンバーシップの変更は、nisNetgroup オブジェクトの nisNetgroupTriple 属性を変更することによって行われます。つまり、オブジェクトを変更する権限を持つユーザーは、任意のサーバーをネットグループに追加できます。たとえば、標準 AD グループを使用して、ユーザーがコンピューターをグループに追加するために、グループとコンピューター アカウントを変更する権限を持つ必要があるなど、これをさらに制限したいと思います。sssd で標準 AD グループをネットグループとして使用することは可能ですか?

関連情報