Ich habe eine Active Directory-Domäne mit einer Handvoll Linux-Servern, die über SSDD mit AD interagieren. Ich möchte auf verschiedenen Servern eine unterschiedliche Sudoers-Konfiguration haben und weiß, dass dies über Netgroups möglich ist. Bisher ist es mir gelungen, einige Server in eine Netgroup zu integrieren, indem ich ein nisNetgroup-Objekt in AD hinzugefügt und Server zum Attribut nisNetgroupTriple dieses Objekts hinzugefügt habe (und die Option ldap_netgroup_search_base in sssd.conf festgelegt habe). Als Ergebnis kann ich die Netgroup auf den Linux-Servern erfolgreich mit getent abfragen:
$ getent netgroup <name>
<name> (<server>.<domain>,,)
Die Änderung der Netgroup-Mitgliedschaft erfolgt durch Ändern des Attributs nisNetgroupTriple des Objekts nisNetgroup. Das bedeutet, dass ein Benutzer mit der Berechtigung zum Ändern des Objekts jeden Server in die Netgroup aufnehmen kann. Ich möchte dies noch weiter einschränken, beispielsweise durch Verwendung einer Standard-AD-Gruppe, bei der ein Benutzer die Berechtigung zum Ändern der Gruppe und des Computerkontos haben muss, um den Computer zur Gruppe hinzuzufügen. Ist es möglich, dass sssd eine Standard-AD-Gruppe als Netgroup verwendet?