Eu tenho vários servidores virtualizados, todos configurados para usar o LDAP em suas passwd / shadow (em nsswitch.conf ) e autenticação (PAM).
Eu gostaria de ter um conjunto de usuários facilmente configurável que possa ler logs em qualquer um dos servidores. Isso significa que eles precisam ser membros de um grupo suplementar de distribuição específica (por exemplo, systemd-journal nas distribuições baseadas em systemd, adm no Debian, etc.).
Uma ideia que tive foi fazer um netgroup no LDAP chamado eg. log-reading-users que representaria o conjunto de usuários. Eu configurei nsswitch.conf para obter netgroups do LDAP.
Então, tentei adicioná-los aos grupos em /etc/group da seguinte forma:
adm:x:4:+@log-reading-users
Mas não funcionou.
Então tentei usar /etc/security/group.conf :
# group.conf
*;*;@log-reading-users;Al0000-24000;adm
E adicionando no final de /etc/pam.d/common-auth :
auth optional pam_group.so
Funcionou para ssh , login e su com senha, mas ao usar sudo , su do root sem senha ou quando o cron está executando a entrada crontab do usuário, os IDs de grupo suplementares não estão sendo adicionados.
Existe uma maneira melhor de fazer isso?
Talvez algo com initgroups em nsswitch.conf ?