Ignorando grupos padrão do Debian do LDAP

Question

Ignorando grupos padrão do Debian do LDAP

#1 resposta do (1 votos)
#2 resposta do (0 votos)

3

Isso é algo que sempre me incomodou: como é melhor lidar com grupos padrão Debian para usuários LDAP?

O Debian tem um número de grupos definidos por padrão, por exemplo plugdev, áudio, cdrom e assim por diante. Estes controlam o acesso em instalações Debian padrão.

Quando quero que um usuário do LDAP seja membro do grupo "áudio" em todas as máquinas em que ele faz login, tentei algumas coisas diferentes:

Adicionando-os ao grupo local na máquina (isso funciona, mas é difícil de manter)
Criar um grupo no LDAP com o mesmo nome e um GID diferente e, em seguida, adicionar o usuário a esse grupo (interromper o mapeamento de GID inverso / avançado parece não funcionar)
Criando um grupo no LDAP com o mesmo nome e o mesmo GID e adicionando o usuário a esse grupo (parece não funcionar, as coisas não veem os membros do grupo LDAP)
Criando um grupo no LDAP com o mesmo nome e o mesmo GID, removendo o grupo local (isso funciona, mas perturba os scripts de manutenção do Debian durante as atualizações que verificam a sanidade do sistema local)

Qual é a melhor prática para esse cenário?

debian ldap

por Ex-Parrot 17.10.2012 / 04:18

2 respostas

Tags debian ldap

htaccess bloqueio de IP com erro personalizado 403 não está funcionando Instância AWS autônoma ssh conecta diferenças de string: root vs ec2-user

score 1 · Answer 1

Seu terceiro ponto deve resolver isso, já que fiz exatamente a mesma coisa antes. A chave é como /etc/nsswitch.conf é definido para o tipo de pesquisa de grupo. Você também deseja o ldap definido antes dos arquivos, para que procure primeiro no diretório LDAP qualquer grupo e, assim, substitua, pois ele usará a primeira correspondência e ignorará os serviços de nomes definidos restantes.

Dê uma chance ou publique a linha do grupo em /etc/nsswitch.conf.

score 0 · Answer 2

Não sei ao certo como as coisas funcionaram no passado, mas estou escrevendo isso para alguém que está procurando uma solução agora e no futuro.

No Ubuntu 16.04, com o seu terceiro ponto, eu fiz isso. O importante aqui é fazer com que ldap entry venha APÓS files entrada na linha do grupo em /etc/nsswitch.conf .