O sistema é o ArchLinux e estou usando o nss-pam-ldapd (0.8.13-4) para me conectar ao ldap.
Arquivos de configuração relevantes:
Eu tenho meus usuários e alguns grupos no LDAP:
[root@kain tmp]# getent group
<localgroups snipped>
dkowis:*:10000:
mp3s:*:15000:rkowis,dkowis
music:*:15002:rkowis,dkowis
video:*:15003:transmission,rkowis,dkowis,sickbeard
software:*:15004:rkowis,dkowis
pictures:*:15005:rkowis,dkowis
budget:*:15006:rkowis,dkowis
rkowis:*:10001:
E eu tenho alguns diretórios que são setgid video para que o grupo de vídeo permaneça, e eles estão configurados g = rwx para que os membros do grupo video possam escrever para eles:
[root@kain video]# ls -ld /srv/video
drwxrwxr-x 8 root video 208 Oct 19 20:49 /srv/video
No entanto, os membros desse grupo, digamos dkowis , não podem gravar nesse diretório:
[root@kain video]# groups dkowis
mp3s music video software pictures dkowis
O número total de grupos em que o dkowis está é igual a 7, eu editei alguns aqui.
[dkowis@kain wat]$ cd /srv/video
[dkowis@kain video]$ touch something
touch: cannot touch 'something': Permission denied
[dkowis@kain video]$ groups
dkowis mp3s music video software pictures
Não sei por que meus grupos aparecem em getent groups , mas as permissões do meu sistema de arquivos não estão sendo respeitadas. Eu tentei criar um novo diretório em /tmp e definir suas permissões de grupo para rwx e, em seguida, tentar gravar um arquivo lá, não funciona. A única vez que isso funciona é se eu abro-o largamente permitindo o = rwx. Isso obviamente não é o que eu quero, e não consigo descobrir qual é a minha peça que falta.
Obrigado antecipadamente.
EDIT: parar o nscd também não teve efeito. Não parece ser um problema de cache.
EDIT: um pouco de expiração:
Grupos definidos localmente funcionam bem, isso parece afetar apenas grupos LDAP, adicionados a / etc / group:
test:x:15007:dkowis
mkdir /tmp/wat
chgrp test /tmp/wat
chmod g+rws /tmp/wat
su - dkowis
cd /tmp/wat
touch something
[dkowis@kain wat]$ ls -la
total 0
drwxrwsr-x 2 root test 60 Oct 22 11:26 .
drwxrwxrwt 8 root root 160 Oct 22 11:26 ..
-rw-r--r-- 1 dkowis test 0 Oct 22 11:26 something
Você está correndo em uma colisão de namespace.
Por padrão, /etc/nsswitch.conf está configurado para procurar primeiro arquivos e depois fontes externas.
group: files ldap .
Isso significa que o grupo de vídeos de /etc/group corresponderá antes do grupo de vídeos no ldap. Isso pode ser visto executando getent group video .