Почему локальный корень в состоянии к su какому-либо пользователю LDAP?
Существуют вещи, которые можно переместить довольно легко (базы данных) и вещи, которые требуют намного большего количества работ (безопасность, задания). Нет никакой "стандартной" процедуры миграции всего в одноэтапном: каждая вещь должна быть перемещена по-другому.
Мое предложение состоит в том, чтобы искать квалифицированный DBA, кто сможет правильно понять что потребности быть сделанным и затем делает это.
Это стандартный дизайн Unix, и вы не можете предотвратить выполнение root все, что он захочет.
В более безопасном дизайне пользователи использовали бы sudo , а для конфигурации sudo позволяли бы пользователям выполнять только определенные задачи, которые им нужно выполнить. Неограниченный доступ sudo должен быть ограничен конкретным ИТ-персоналом, которому он нужен для обслуживания серверов, а фактический пароль root должен храниться где-нибудь в сейфе.
Вот как он должен работать.
Вы МОЖЕТЕ предотвратить или ограничить root-доступ. Я работаю с системами здравоохранения и сталкиваюсь со всевозможными нормативными и нормативными требованиями. Наши аудиторы довольны аутентификацией LDAP, но предпочитают, чтобы мы разрешили доступ sudo для обработки обычных пользователей, которым иногда могут потребоваться привилегии повышения уровня root.
Мой коллега смог найти решение проблемы корневого доступа к учетным записям пользователей LDAP без пароля. В /etc/pam.d/su есть параметр pam_rootok. так . Это необходимо закомментировать с помощью # . После того, как это закомментировано, root будет запрашивать пароль пользователя при попытке su.