Eu tenho uma série de servidores que executam vários tipos de Linux, todos configurados como clientes OpenLDAP via SSSD. Eu adicionei um grupo LDAP (sysadmins). Eu também adicionei um grupo sysadmins em todos os meus servidores. Os membros do grupo sysadmins vão mudar com o tempo.
Como faço para que todos os usuários do grupo LDAP sejam adicionados ao grupo local no login?
Existe uma maneira de realizar isso no momento - você pode adicionar o usuário em cada host localmente e depois adicionar o membro do LDAP em / etc / groups.
A segunda maneira está atualmente em desenvolvimento para a glibc e não chegará ao RHEL antes de 7.3, mas você pode ler sobre isso aqui: link
Isso basicamente permite que você defina o grupo tanto localmente quanto no LDAP e libere a biblioteca do conteúdo do grupo.
De acordo com a documentação do Ubuntu você pode fazer um mapeamento de usuários de domínio para grupos locais, não tenho certeza se é aplicável a qualquer sistema operacional, mas parece usar módulos padrão que devem estar em qualquer sistema * nix. / p>
Assign local groups to users
To assign local groups to a domain (ldap) user do the following edit /etc/security/group.conf and add something like the following to it (log in as a local user and run the groups command to verify what to add):
*;*;*;Al0000-2400;audio,cdrom,dialout,floppyIn order to get the
pam_groupmodule working you could create a file like/usr/share/pam-configs/my_groups:Name: activate /etc/security/group.conf Default: yes Priority: 900 Auth-Type: Primary Auth: required pam_group.soand activate it by running
pam-auth-update.This roughly equals editing
/etc/pam.d/common-authby hand and adding the following line before anypam_ldapandpam_krb5settings:
auth required pam_group.soYou should now have local groups showing up for users logging in via gdm and ssh and can verify this by executing id or groups.
Finalize
Just to make sure everything works, run the following:
pam-auth-update /etc/init.d/nscd restart