sssd를 통해 AD와 상호 작용하는 소수의 Linux 서버가 포함된 활성 디렉터리 도메인이 있습니다. 다른 서버에서 다른 sudoers 구성을 갖고 싶고 이것이 넷그룹을 통해 수행될 수 있다는 것을 알고 있습니다. 지금까지 AD에 nisNetgroup 개체를 추가하고 해당 개체의 nisNetgroupTriple 속성에 서버를 추가하여(그리고 sssd.conf에서 ldap_netgroup_search_base 옵션을 설정하여) 일부 서버를 넷그룹에 포함시켰습니다. 결과적으로 getent를 사용하여 Linux 서버에서 netgroup을 성공적으로 쿼리할 수 있습니다.
$ getent netgroup <name>
<name> (<server>.<domain>,,)
넷그룹 멤버십 변경은 nisNetgroup 개체의 nisNetgroupTriple 속성을 수정하여 수행됩니다. 이는 객체 수정 권한이 있는 사용자가 모든 서버를 넷그룹에 넣을 수 있음을 의미합니다. 예를 들어, 컴퓨터를 그룹에 추가하려면 사용자가 그룹과 컴퓨터 계정을 수정할 수 있는 권한이 필요한 표준 AD 그룹을 사용하여 이를 더 잠그고 싶습니다. sssd가 표준 AD 그룹을 넷그룹으로 사용하도록 할 수 있습니까?