У меня есть домен Active Directory с несколькими серверами Linux, которые взаимодействуют с AD через sssd. Я хочу иметь разные конфигурации sudoers на разных серверах, и я знаю, что это можно сделать через сетевые группы. До сих пор мне удалось поместить несколько серверов в сетевую группу, добавив объект nisNetgroup в AD и добавив серверы в атрибут nisNetgroupTriple этого объекта (и установив параметр ldap_netgroup_search_base в sssd.conf). В результате я могу успешно запросить сетевую группу на серверах Linux с помощью getent:
$ getent netgroup <name>
<name> (<server>.<domain>,,)
Изменение членства в сетевой группе выполняется путем изменения атрибута nisNetgroupTriple объекта nisNetgroup. Это означает, что пользователь с разрешением на изменение объекта может добавить любой сервер в сетевую группу. Я хотел бы еще больше заблокировать это, например, используя стандартную группу AD, где пользователю необходимо иметь разрешение на изменение группы и учетной записи компьютера, чтобы добавить компьютер в группу. Возможно ли, чтобы sssd использовал стандартную группу AD в качестве сетевой группы?