Atualmente, estou executando um servidor OpenLDAP gerenciando meus usuários do Linux como elementos posixaccount e posixgroup da seguinte forma:
dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top
dn: cn=shellinger,ou=people,dc=company,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...
Neste momento, além dos grupos primários, a participação no Grupo Linux é gerenciada localmente em cada máquina. Isso funciona, mas acho que derrota o propósito do gerenciamento centralizado de usuários.
O que eu acho que quero é atribuir aos meus usuários diferentes conjuntos de grupos, dependendo de qual máquina eles fazem logon. Geralmente, meus usuários têm negócios úteis em todas as minhas máquinas, portanto, acredito que as restrições de login (com base no host ou em um determinado grupo) são muito grosseiras para meu caso de uso. Eu quero restringir o que eles podem fazer em cada máquina, não se eles podem logar em tudo; e na minha mentalidade que se traduz em que grupos Linux eles estão em.
Além disso, esses grupos (e, como tal, permissões) podem ser muito diferentes para cada usuário em cada máquina, uma pessoa com permissões de superusuário em uma máquina pode ser um usuário comum na próxima.
Em termos leigos, isso soa como atribuição de grupo baseada em função, mas depois de lançar todo o meu vocabulário LDAP no Google e falha de servidor, eu ainda não consigo entender isso.
Resumindo, as perguntas são: O meu uso é válido? Eu estou indo sobre isso do jeito certo? Devo gerenciar grupos do Linux no LDAP?