我目前正在运行一个OpenLDAP服务器来管理我的 Linux用户作为posixaccount和posixgroup元素,如下所示：

dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top

dn: cn=shellinger,ou=people,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetorgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...

现在,除了主要组,Linux Group成员资格在每台计算机上进行本地管理.这有效,但我认为无法实现集中用户管理的目的.

我想我想要的是根据他们登录的机器为我的用户分配不同的组.通常我的用户在我的所有机器上都有用,所以我认为登录限制(基于主机或某个组)对我的用例来说太粗糙了.我想限制他们在每台机器上可以做什么,而不是他们可以登录;在我的心态中,它转化为他们所在的Linux群体.

此外,对于每台计算机上的每个用户,这些组(以及这样的权限)可能会有很大差异,在一台计算机上具有超级用户权限的人可以在下一个计算机上成为常规用户.

在我的外行人看来,这听起来像基于角色的小组分配,但在将我的整个LDAP词汇量扔到谷歌和服务器故障后,我似乎仍然无法理解这一点.

总结一下,问题是：我的用例是否有效？我是以正确的方式来做这件事的吗？我应该在LDAP中管理Linux组吗？