我有一個活動目錄網域,其中有一些透過 sssd 與 AD 互動的 Linux 伺服器。我想在不同的伺服器上有不同的 sudoers 配置,我知道這可以透過網路群組來完成。到目前為止,我已經透過在 AD 中新增 nisNetgroup 對象,並將伺服器新增至該物件上的 nisNetgroupTriple 屬性(並在 sssd.conf 中設定 ldap_netgroup_search_base 選項),成功地將一些伺服器新增至網路群組。結果,我可以使用 getent 在 Linux 伺服器上成功查詢網路群組:
$ getent netgroup <name>
<name> (<server>.<domain>,,)
更改網路群組成員身分是透過修改 nisNetgroup 物件的 nisNetgroupTriple 屬性來完成的。這意味著有權修改該物件的使用者可以將任何伺服器放入網路群組中。我想進一步鎖定這一點,例如透過使用標準 AD 群組,使用者需要擁有修改群組和電腦帳戶的權限才能將電腦新增至群組。是否可以讓 sssd 使用標準 AD 組作為網路組?