Добавить пользователя домена (LDAP) в группу wheel [решено]

[berkut_174]

Кентавр 6.
Создал пользователя. Добавил через web (alterator-ldap-users) его в группу wheel (local). Ни на самом сервере, ни на клиентах в /etc/group пусто.
Как я понимаю, что если я добавил пользователя домена в группу wheel, то на клиентах я могу иметь доступ к su, так ?
Мне собственно это и нужно. Вручную добавить на клиенте могу, работает. Но зачем тогда на сервере через web можно добавить пользователя в группы ? Куда я его добавил ? Или это баг ?

Спасибо.

[Skull]

Кентавр 6.
Создал пользователя. Добавил через web (alterator-ldap-users) его в группу wheel (local). Ни на самом сервере, ни на клиентах в /etc/group пусто.
Как я понимаю, что если я добавил пользователя домена в группу wheel, то на клиентах я могу иметь доступ к su, так ?
Мне собственно это и нужно. Вручную добавить на клиенте могу, работает. Но зачем тогда на сервере через web можно добавить пользователя в группы ? Куда я его добавил ? Или это баг ?

Это известный баг: https://bugs.altlinux.org/24494

[berkut_174]

Это известный баг: https://bugs.altlinux.org/24494

Из ссылки понял, что сейчас этим вопросом никто не занимается ?
Печально...

[Skull]

Это известный баг: https://bugs.altlinux.org/24494

Из ссылки понял, что сейчас этим вопросом никто не занимается ?

Пока не самый высокий приоритет. Но я эту проблему курирую, до конца мая, надеюсь, починим.

[berkut_174]

Пока не самый высокий приоритет. Но я эту проблему курирую, до конца мая, надеюсь, починим.

Ясно.
Для меня не особо критично, но желательно бы чтобы работало :)
Хотя бы тогда локальные/пользовательские группы всем "приделать": camera, vboxusers, cdrom, etc.

[Skull]

Исправлено в alterator-ldap-groups-0.6.1-alt1
Для заведения системных групп (перечень можно подкорректировать в файле /etc/alterator/ldap-groups/group-init-list) надо или создать другой домен или запустить

Код: [Выделить]

/etc/hooks/hostname.d/91-ldap-groups

[berkut_174]

Исправлено в alterator-ldap-groups-0.6.1-alt1

Круто!
Проверю у себя, спасибо.

[berkut_174]

Проверю у себя, спасибо.

Проверил, отчитываюсь.
Пока на ВМ.
1. Применил хук. Вывод такой: ldap-groupadd: same name already exists. Думаю, что это не страшно.
2. Группы по умолчанию, решил пока не править, оставил как есть.
3. Добавил нового пользователя через альтератор.
4. На сервере проверил

Код: [Выделить]

groups user
user audio camera cdrom cdwriter floppy proc radio scanner uucp xgrp5. В группу wheel почему-то не добавился. Предполагаю, что пока решили не давать такие права кому ни лень.
6. На клиенте

Код: [Выделить]

groups user
user audio tftp cdrom cdwriter floppy proc radio backupadmin uucp xgrpПочти... а дело все в том, что у меня под номером 36 группа tftp, а не camera, как это сделано на сервере :) Самое простое это конечно сменить номер группы на клиенте, хотя решение... не очень... если клиентов много. Да и если группы будут не совпадать по номерам с сервером, то вобщем-то с большинством групп могут возникнуть такие же проблемы, а править для каждой группы это уже.... Тогда только сверять всех клиентов с сервером по номерам групп , чтобы все совпадало. Тоже проблемно получается...
Вот собственно в этом только пока проблема, ну и с wheel.

PS
group-init-list это, как я понял, только для системных групп, а для ldap-ных дефолтных есть ?

PPS
Как решить вопрос с уже созданными пользователями ? Как их добавить в эти группы ? через ldap-groupadd ?

Спасибо!  :)

[berkut_174]

Почти... а дело все в том, что у меня под номером 36 группа tftp, а не camera, как это сделано на сервере :) Самое простое это конечно сменить номер группы на клиенте, хотя решение... не очень... если клиентов много. Да и если группы будут не совпадать по номерам с сервером, то вобщем-то с большинством групп могут возникнуть такие же проблемы, а править для каждой группы это уже.... Тогда только сверять всех клиентов с сервером по номерам групп , чтобы все совпадало. Тоже проблемно получается...

Теперь совсем ничего не понимаю... xgrp группа с разными номерами тоже, но она определяется. На клиенте p5 scanner определяется нормально, хотя номер группы тоже разнится с сервером...

[rotkart]

Добрый день!
Спасибо за тему: частично заработало, системные группы появились, наблюдаю ту же чехарду с группами:
На сервере:

Код: [Выделить]

[root@sterver ~]# grep 37 /etc/group
_c_icap:x:137:
camera:x:37:admin
[root@sterver ~]# grep 114 /etc/group
xgrp:x:114:admin
А на клиенте:

Код: [Выделить]

[user@cab303 ~]$ su - tselishevsl
Password:
pam_mount(rdconf1.c:1396): DNS-SD: found dns-sd volume in pam_mount config, with cifs fs
pam_mount(rdconf1.c:1396): DNS-SD: found dns-sd volume in pam_mount config, with cifs fs
[TselishevSL@cab303 ~]$ id
uid=5046(TselishevSL) gid=5051(TselishevSL) группы=5051(TselishevSL),7(lp),10(wheel),22(cdrom),37(nmapuser),80(cdwriter),81(audio),114(psqluser),126(vboxusers),5000(teacher),5003(zavuch),5063(italcmaster)
Я еще сегодня попробую запуск italc из под этого пользователя.

[Skull]

1. Применил хук. Вывод такой: ldap-groupadd: same name already exists. Думаю, что это не страшно.

Пока диагностику ldap-groupadd не исправил чтобы показывать, какая группа уже существует.

5. В группу wheel почему-то не добавился. Предполагаю, что пока решили не давать такие права кому ни лень.

Список групп по умолчанию задаётся (через пробел) в

Код: [Выделить]

# grep ^default_groups /usr/lib/alterator/backend3/ldap-groups
default_groups="cdwriter cdrom audio proc radio camera floppy xgrp scanner uucp users"По соображениям безопасности wheel для каждого отдельно в модуле «Группы».

6. На клиенте

Код: [Выделить]

groups user
user audio tftp cdrom cdwriter floppy proc radio backupadmin uucp xgrpПочти... а дело все в том, что у меня под номером 36 группа tftp, а не camera, как это сделано на сервере :) Самое простое это конечно сменить номер группы на клиенте, хотя решение... не очень... если клиентов много. Да и если группы будут не совпадать по номерам с сервером, то вобщем-то с большинством групп могут возникнуть такие же проблемы, а править для каждой группы это уже.... Тогда только сверять всех клиентов с сервером по номерам групп , чтобы все совпадало. Тоже проблемно получается...

Да, это проблема. С italcmaster будет то же самое. Сейчас красивого решения нет, но это уже я обсуждал со специалистами и буду добивать.

group-init-list это, как я понял, только для системных групп, а для ldap-ных дефолтных есть ?

Для любых. Алгоритм такой: если в /etc/group нет имени заданной группы, она задаётся с произвольным GID.

Как решить вопрос с уже созданными пользователями ? Как их добавить в эти группы ? через ldap-groupadd ?

Нет, через ldap-groupmod. Примерно так:

Код: [Выделить]

IFS='';members=$(ldap-getent passwd '*' uid|while read u;do echo "memberUid:$u";done)
groups="$(grep ^default_groups /usr/lib/alterator/backend3/ldap-groups|cut -f2 -d\")"
for group in $groups;do echo "$members"|ldap-groupmod replace $group;done
(пока не сделал более привычное добавление в группы).

[Skull]

На клиенте p5 scanner определяется нормально, хотя номер группы тоже разнится с сервером...

Сканеры разве не через polkit получают права для пользователей, залогинившихся в Xorg?

[berkut_174]

Сканеры разве не через polkit получают права для пользователей, залогинившихся в Xorg?

Надо проверить, пока доменных пользователей, работающих со сканерами, нет.

Так то проблемы только с группой camera и scanner — для меня не принципиально.

Спасибо!

[Skull]

В ldap-user-tools 0.8.1 (появится на днях, особо нетерпеливые могут сделать apt-repo add task 83444) теперь можно:
а) проинициализировать группы по умолчанию и добавить в нужные группы всех пользователей:

Код: [Выделить]

ldap-groupadd --defaultб) добалять и удалять пользователей в группах:

Код: [Выделить]

ldap-groupmod -m user1,user2 group1
ldap-groupmod -x user2 group1в) устанавливать основную группу для пользователя:

Код: [Выделить]

ldap-usermod -g Group user1

[berkut_174]

/usr/lib/alterator/backend3/ldap-groups

/etc/alterator/ldap-groups/group-init-list

Ни там, ни там не срабатывает.
Пишу группу video и share (ldap-ная).