会社の戦略に従って、人間のユーザー認証をローカルのLDAP実装から集中型のActive Directoryドメインに移行しています。問題は、LDAPのsudoers設定が厳しく制限されていることです。 Windows管理者は、多くの作業がなければこの設定をミラーリングできず、おそらく時間をかけずにこの設定を完全にミラーリングすることはできません。思い浮かぶアイデアの一つは次のとおりです。
Active Directoryに認証しますが、既存のLDAPインフラストラクチャ内でsudoer管理を維持します。
それで、質問はsudoersのLDAPを持つことができ、/etc/nsswitch.confでpasswdの代替を持つことができるように認証のためのAD /サーバーに代替がありますか?
規模により、各ゲストに対してローカルの /etc/sudoers ファイルを維持することは管理上制限されており、アーキテクチャとスケーラビリティの面で障害になる可能性があります。
ベストアンサー1
Univention Corporate Server(UCS)を使用するソリューションをお勧めします。 Actice Directory互換ドメインと統合されたSamba 4を使用するDebianベースのLinuxエンタープライズディストリビューション。したがって、これは集中型Active Directoryと呼ばれることがあります。
LDAP 問題の場合、UCS には OpenLDAP も含まれます。これは、UCSのOpenLDAPを使用して既存のLinux / Unixシステムを統合し、Samba 4 Active Directoryを使用してWindowsクライアント/サーバーを統合できることを意味します。
sudoerに関しては素晴らしいsudoソリューションがあります。 WebベースのUnivention管理コンソールを使用してsudoを構成できます。 http://wiki.univention.de/index.php?title=Cool_Solution__-_Setup_sudo_with_ldap_on_multiserver_environments
または、既存のMicrosoft ADをデフォルトのディレクトリとして保持する場合は、UCS統合ツールであるActive Directory Connection Hopeの自動同期を使用して、そのディレクトリとUCSのOpenLDAPディレクトリの間にユーザー、グループ、およびオプションのパスワードインプレッションを実装できます。このツールは、デフォルトでUCSの一部であるUnivention Application Centerを介して使用できます。
UCSの詳細については、am wikiと次の場所で確認できます。 https://www.univention.com/products/ucs/