Добавить пользователя домена (LDAP) в группу wheel [решено]

[Skull]

Версия пакета ldap-user-tools последняя? Что запускали и что пишет?

[berkut_174]

Версия пакета ldap-user-tools последняя?

ldap-user-tools-0.8.1-alt1, да.

Что запускали и что пишет?

Хук запускал после обновления до последней версии ldap-user-tools-0.8.1-alt1, с прошлой версией ldap-user-tools хук не запускал.
Подправил оба файла: /usr/lib/alterator/backend3/ldap-groups и /etc/alterator/ldap-groups/group-init-list, список групп такой:

Код: [Выделить]

audio cdrom cdwriter floppy proc radio uucp xgrp share(с этими сейчас проблем нет, убрал camera и scanner и добавил share, мне нужно)
Запустил

Код: [Выделить]

# /etc/hooks/hostname.d/91-ldap-groups
ldap-groupadd: group with name "audio" already exists
ldap-groupadd: group with name "cdrom" already exists
ldap-groupadd: group with name "cdwriter" already exists
ldap-groupadd: group with name "floppy" already exists
ldap-groupadd: group with name "proc" already exists
ldap-groupadd: group with name "radio" already exists
ldap-groupadd: group with name "uucp" already exists
ldap-groupadd: group with name "xgrp" already exists
ldap-groupadd: group with name "share" already existsЧерез альтератор добавил нового пользователя user1, проверил:

Код: [Выделить]

# groups user1
user1: user1 audio camera cdrom cdwriter floppy proc radio scanner uucp xgrp Запускал

Код: [Выделить]

# ldap-groupadd --default
Create dafault groups...
ldap-groupadd: group with name "audio" already exists
ldap-groupadd: group with name "cdrom" already exists
ldap-groupadd: group with name "cdwriter" already exists
ldap-groupadd: group with name "floppy" already exists
ldap-groupadd: group with name "proc" already exists
ldap-groupadd: group with name "radio" already exists
ldap-groupadd: group with name "uucp" already exists
ldap-groupadd: group with name "xgrp" already exists
ldap-groupadd: group with name "share" already exists
Add users to groups...
Groups for users: cdwriter cdrom audio proc radio camera floppy xgrp scanner uucp users
ldap-groupmod: group "users: does not existОпять не то...

Код: [Выделить]

ldap-groupmod -m user1 shareВот так могу добавить пользователя в группу.
Получается что-то не отрабатывает, потому что список групп остается неизменным.
Спасибо.

[Skull]

Код: [Выделить]

audio cdrom cdwriter floppy proc radio uucp xgrp share

Надо по одной группе в строчке добавлять. Можно вставлять пустые строчки и комментарии с «#». Покажите group-init-list

Код: [Выделить]

ldap-groupadd: group with name "share" already exists

Уже создана группа.

Код: [Выделить]

ldap-groupmod: group "users: does not exist

Так, а с users проблема. А вручную создать?

Код: [Выделить]

ldap-groupadd users

Получается что-то не отрабатывает, потому что список групп остается неизменным.

share-то добавляется.

[berkut_174]

Надо по одной группе в строчке добавлять. Можно вставлять пустые строчки и комментарии с «#». Покажите group-init-list

Именно так и есть, с новой строки:

Код: [Выделить]

# cat group-init-list
cdwriter
cdrom
audio
proc
radio
#camera
floppy
xgrp
#scanner
uucp
#wheel
share
#video
#rujel_adm
#zavuchi
#zav_kaf
#tutor
#teacher
И /usr/lib/alterator/backend3/ldap-groups

Код: [Выделить]

# grep ^default_groups /usr/lib/alterator/backend3/ldap-groups
default_groups="share cdwriter cdrom audio proc radio floppy xgrp uucp"

Уже создана группа.

Это понятно.

Код: [Выделить]

ldap-groupmod: group "users: does not exist

Так, а с users проблема. А вручную создать?

Код: [Выделить]

ldap-groupadd users

Ну дак системная такая уже есть :) поэтому и выдает ошибку.

Код: [Выделить]

# grep users /etc/group
users:x:100:

share-то добавляется.

Только вручную — ldap-groupmod -m user1 share.
По дефолту пользователи добавляются только в:

Код: [Выделить]

audio camera cdrom cdwriter floppy proc radio scanner uucp xgrp которые не меняются.

[Skull]

Код: [Выделить]

ldap-groupadd users

Ну дак системная такая уже есть :) поэтому и выдает ошибку.

Код: [Выделить]

# grep users /etc/group
users:x:100:

Ага, обнаружен корень зла. Про то, что такая же системная есть, я не подумал.
В LDAP можно любую группу создать. А вот если gidNumber совпадает с системной, начинается магия по маппированию.
Завтра посмотрю уже с работы.

[berkut_174]

Что с дефолтными группами, не меняются они.
Обновился до alt13. Применил хуки. И все те же группы, что и были, не могу изменить список дефолтных групп. Файлы те же:

Код: [Выделить]

# cat group-init-list
cdwriter
cdrom
audio
proc
radio
#camera
floppy
xgrp
#scanner
uucp
#wheel
share
#video
#rujel_adm
#zavuchi
#zav_kaf
#tutor
#teacher

Код: [Выделить]

# grep ^default_groups /usr/lib/alterator/backend3/ldap-groups
default_groups="share cdwriter cdrom audio proc radio floppy xgrp uucp" А пользователи теперь по умолчанию добавляются в

Код: [Выделить]

audio camera cdrom cdwriter floppy proc radio scanner uucp xgrp users

[Skull]

Код: [Выделить]

# grep ^default_groups /usr/lib/alterator/backend3/ldap-groups
default_groups="share cdwriter cdrom audio proc radio floppy xgrp uucp"

Группы по умолчанию беруться не из /usr/lib/alterator/backend3/ldap-groups, а из /usr/lib/alterator/backend3/ldap-users:

Код: [Выделить]

# grep ^default_membership /usr/sbin/ldap-groupadd
default_membership="/usr/lib/alterator/backend3/ldap-users"

[berkut_174]

Спасибо, проверю.

[berkut_174]

Угу, здесь работает /usr/lib/alterator/backend3/ldap-users.
А эти тогда на что — /etc/alterator/ldap-groups/group-init-list и /usr/lib/alterator/backend3/ldap-groups ?
В них обратно все вернуть ?

[Skull]

А эти тогда на что — /etc/alterator/ldap-groups/group-init-list

Это группы, которые создаются пустыми. Файл нужен, без него не будет создано групп вообще.

и /usr/lib/alterator/backend3/ldap-groups ?

«Эхо войны...». Остатки прежних версий, которые я ещё не успел вычистить.

[berkut_174]

Понятно, спасибо.

[berkut_174]

А эти тогда на что — /etc/alterator/ldap-groups/group-init-list

Это группы, которые создаются пустыми. Файл нужен, без него не будет создано групп вообще.

Получается, если мне нужно добавить пользователя в группу vboxusers, то мне нужно вписать эту группу сюда и потом применить хук /etc/hooks/hostname.d/91-ldap-groups ? И только после, я смогу добавить пользователя в эту группу.

[Skull]

Получается, если мне нужно добавить пользователя в группу vboxusers, то мне нужно вписать эту группу сюда и потом применить хук /etc/hooks/hostname.d/91-ldap-groups ? И только после, я смогу добавить пользователя в эту группу.

Да.

[flint1975]

5 раз прочитал, остались вопросы:
добавил на сервере wheel vboxusers в /etc/alterator/ldap-groups/group-init-list
выполнил хук на сервере
выполнил на сервере:

Код: [Выделить]

ldap-groupmod -m olga vboxusers
ldap-groupmod -m olga wheel
После чего на сервере:

Код: [Выделить]

[root@baoserv ~]# groups olga
olga : olga office vboxusers wheel
На клиенте:

Код: [Выделить]

[root@kassir ~]# groups olga
olga : olga office vboxadd wheel
Я правильно понимаю, что нужно править group id?
И как это побороть?

[berkut_174]

Я правильно понимаю, что нужно править group id?
И как это побороть?

Да, можно поправить, как на сервере.
Решения пока нет, увы, Skull говорил про эту проблему.