Grupos privados do Active Directory, Linux e do usuário

4

Estamos no processo de passar do NIS nos nossos sistemas Linux para vincular tudo ao Active Directory. O ambiente NIS segue o padrão comum usado por muitas distribuições Linux de que o grupo primário de um usuário é um grupo com o mesmo nome do usuário (e do qual o usuário normalmente é o único membro).

Fui informado de que, no ambiente do Active Directory, talvez você não tenha um nome de grupo com o mesmo nome de um usuário (especificamente, que não haja dois objetos de segurança do AD com o mesmo nome). Isso parece complicar o processo de mover as definições do nosso grupo para o AD. Parece que poderíamos manter as informações do grupo NIS no AD usando apenas atributos POSIX (por exemplo, não um objeto de segurança AD real), mas isso parece ser uma correção abaixo do ideal (porque realmente queremos ter a mesma visão de associação de grupo em ambos os mundos Unix e AD).

Você moveu um grande ambiente legado do NIS para o Active Directory? Como você lidou com essa situação?

    
por larsks 23.05.2010 / 02:24

2 respostas

1

Eu também encontrei o mesmo problema. Depois de ler muitos documentos, eu criei a seguinte "solução":

  • Para contornar os confrontos de nomes, renomei User Private Groups adicionando um caractere "g" no início. Por exemplo: User = erik, Group = erik. Agora no diretório ativo eu nomeei o grupo "gerik". Dessa forma, posso continuar me concentrando na migração do AD sem pensar no problema dos grupos privados de usuários no momento.

  • Pare lentamente de usar grupos privados de usuários, pois esse não parece ser o caminho a ser seguido - pelo menos, ao usar o Active Directory. Isso pode ser feito criando um novo grupo como "unixgrp" ou usando "Usuários do Domínio", mas não gosto de "Usuários do Domínio" porque esse nome é tão longo ao exibir arquivos com "ls".

  • tenha cuidado ao migrar de grupos privados de usuários para um grupo comum como "unixgrp". Não apenas mude o grupo de todos os arquivos para "unixgrp". Se, por exemplo, um usuário tiver permissões de gravação de grupo em um arquivo pertencente ao seu grupo privado de usuário e você alterar o grupo para "unixgrp", todos os usuários em "unixgrp" também terão acesso de gravação a esse arquivo. Então, algum tipo de script tem que modificar as permissões da maneira certa ... divirta-se com isso!

Admito que a única solução real seria de alguma forma suportar grupos privados de usuários ao usar o diretório ativo. Mas eu não sei como ...

    
por 30.10.2014 / 10:45
0

Da mesma forma tem um produto chamado O Módulo da Ferramenta de Gerenciamento UID-GID que pode ser usado com o Semelhantemente Aberto para melhorar seu controle sobre o mapeamento uid / gid para o Active Directory.

Na lista de recursos:

Mirror your organizational units with Likewise cells and map Active Directory users and groups to UIDs and GIDs.

Eu usei o Likewise Open e funciona muito bem, mas não tive necessidade de adquirir este módulo.

    
por 23.05.2010 / 08:36