Добавить пользователя домена (LDAP) в группу wheel [решено]

[berkut_174]

Я сегодня ещё с одной проблемой столкнулся: добавил группу sys и lp. Клиент на p5. Группы все правильно воспринимаются, но HP Device Manager упорно мне говорит, что я не состою в группе sys. :) Вот не знаю в чем дело... проверю ещё на Simply/p6 может это только с p5 такие проблемы. Если вручную на клиенте добавить пользователя в группу sys, все нормализуется.

[flint1975]

Если вручную на клиенте добавить пользователя в группу sys, все нормализуется.

А у меня вываливается ошибка при попытке добавления на клиенте, чего-то там "файл не найден" в строке 220 в alterator-ldap-functions, более точно не могу посмотреть, сейчас не на работе.

[berkut_174]

А у меня вываливается ошибка при попытке добавления на клиенте, чего-то там "файл не найден" в строке 220 в alterator-ldap-functions, более точно не могу посмотреть, сейчас не на работе.

А вы как добавляете ? Я так:

Код: [Выделить]

# gpasswd -a user sysПосле этих манипуляций все нормально становится.

[flint1975]

Да, это я ступил, я делал так:

Код: [Выделить]

ldap-groupmod -m olga vboxusers

[Skull]

Я правильно понимаю, что нужно править group id?
И как это побороть?

Так как при заведении групп по умолчанию они ищутся в /etc/group на сервере.
Чтобы добавить новую группу с системным GID, нужно указать его вторым необязательным параметром:

Код: [Выделить]

ldap-groupadd vboxusers 125
Чтобы изменить gid у уже созданной группы, выполните:

Код: [Выделить]

echo "gidNumber:125" | ldap-groupmod replace vboxusers
(надеюсь, gid  на машинах такой же).

[Skull]

А у меня вываливается ошибка при попытке добавления на клиенте, чего-то там "файл не найден" в строке 220 в alterator-ldap-functions, более точно не могу посмотреть, сейчас не на работе.

Запустите

Код: [Выделить]

ldap-dn find "$(/usr/sbin/system-auth status | cut -f2 -d' ')"и увидите какого файла не хватает. Странности с локальной конфигурацией.

[berkut_174]

Так как при заведении групп по умолчанию они ищутся в /etc/group на сервере.
Чтобы добавить новую группу с системным GID, нужно указать его вторым необязательным параметром:

Код: [Выделить]

ldap-groupadd vboxusers 125

Т.е. все равно, хотя бы на клиентах группы должны совпадать по GID с сервером или нет ?
Но некоторые то и не совпадают под GID, а все равно работают, странно... http://forum.altlinux.org/index.php/topic,23963.msg190779.html#msg190779

[flint1975]

(надеюсь, gid  на машинах такой же).

Нет :) Но все равно спасибо!
у меня на кентавре оказалось vboxusers 131
а на Kdesktop 132, а 131 - vboxadd

Это

Код: [Выделить]

ldap-dn find "$(/usr/sbin/system-auth status | cut -f2 -d' ')"выполнилось без ошибок на клиенте

Кажись пора делать скрип синхронизации групп между сервером и клиентами, а то некоторые клиенты устанавливаются и настраиваются вне сети, а потом только их подключаешь в домен.
Да и еще один косяк случился: пришлось делать, иначе прав не хватало.

Код: [Выделить]

apt-get remove virtualbox
apt-get install virtualbox

[Skull]

Т.е. все равно, хотя бы на клиентах группы должны совпадать по GID с сервером или нет ?

Не с сервером, а с gid в LDAP.

Но некоторые то и не совпадают под GID, а все равно работают, странно... http://forum.altlinux.org/index.php/topic,23963.msg190779.html#msg190779

Странно, не встречал такого. Впрочем, ныне PolicyKit даёт права, большинство групп устарело. Надо атрибуты у файла смотреть (команда lsattr), а не только владельца и группу.

[berkut_174]

Не с сервером, а с gid в LDAP.

Примерно это и подразумевалось :)

У меня несколько вопросов:

1. Если у меня на сервере LDAP-ная группа vboxusers имеется, а на клиенте её нет вовсе, тогда как ? Пользователь получит права на эту группу на клиенте или нет ?

2. Как лучше поступить в данной ситуации ? Может группы LDAP-ные все с 499 начать делать и на уменьшение, а на клиентах заменить gid согласно базе LDAP ? Хотя всех клиентов...

3. Планируется ли как то это дело автоматизировать через сервер ? Например, через пакет ldap-user-tools.

Спасибо!

[Skull]

1. Если у меня на сервере LDAP-ная группа vboxusers имеется, а на клиенте её нет вовсе, тогда как ? Пользователь получит права на эту группу на клиенте или нет ?

Он получает неименованный номер gid. Как только у файла/устройства этот номер gid выставлен, он заработает.

2. Как лучше поступить в данной ситуации ? Может группы LDAP-ные все с 499 начать делать и на уменьшение, а на клиентах заменить gid согласно базе LDAP ? Хотя всех клиентов...

Ничего не понял, если честно.

3. Планируется ли как то это дело автоматизировать через сервер ? Например, через пакет ldap-user-tools.

Что именно?

P.S. мне по почте подсказали по поводу разных номеров GID на разных машинах:

На всякий случай напомню про libnss-role, который позволяет мапить глобальные группы (из LDAP) в локальные (принятые
в конкретной системе):
http://tartarus.ru/projects/libnss-role/wiki

[berkut_174]

Ничего не понял, если честно.

Ну я решение ищу :)
Вы говорите, что нужно в базе LDAP поменять gid как на клиенте, а на клиентах то тоже разные gid могут быть (между собой). Вот я и подумал, что решением было бы на всех клиентах и в базе LDAP сделать один gid для каждой группы + к этому на каждом клиенте может быть разный набор групп. Короче это не вариант...

P.S. мне по почте подсказали по поводу разных номеров GID на разных машинах:

Интересно...

Что именно?

Решение проблем с группами.

Спасибо!

[berkut_174]

libnss-role

У кого-нибудь что-то получилось ?

[Skull]

Этот пакет проблему не решает. В течение лета посмотрю.

[berkut_174]

Вернусь к вопросу, т.к. до сих не решён полностью.

Кажись пора делать скрип синхронизации групп между сервером и клиентами, а то некоторые клиенты устанавливаются и настраиваются вне сети, а потом только их подключаешь в домен.

Это что получается, если я через сервер установок произведу установку ОС, то у неё будут совпадать gid с сервером и, соответственно, с системными в LDAP ?

Я тут попробовал на сервере переназначить для системных групп в LDAP все gid.
Начал с 400 и на увеличение, т.е. получилось:

Код: [Выделить]

audio 400
camera 401
cdrom 402
cdwriter 403
...Потом на клиенте системным группам переназначил эти самые gid, чтобы они совпадали с теми, что в базе LDAP.
Но, потом то я понял, что gid то сменились, а файлы, которые уже есть на компьютере и им был присвоен старый gid, на новый не сменились. А действительно, с чего бы им смениться ?
Вывод -- так делать не следует...

В итоге ничего не нарыл...
Подскажите, что-нибудь поменялось или по-прежнему всё плохо ?
Теперь даже не знаю с какой стороны подойти...