Назад | Перейти на главную страницу

Добавить всех сетевых пользователей в локальную группу для определенных хостов в CentOS7

Как добавить пользователя сети (sssd-ldap) в локальную группу?
Более конкретно, как я могу добавить всех пользователей сети, которые входят в систему, в локальную группу?

Не похоже, что в authconfig есть параметр для добавления pam_group (в отличие от pam_access), а pam_group по умолчанию отсутствует. Я могу редактировать различные файлы pam вручную, но если снова запустить authconfig, это может привести к проблемам.

В некотором смысле я ищу обратное этот вопрос, хотя я использую схему rfc2703bis (но это не должно иметь значения).

в отличие этот вопрос, Я хочу добавить пользователей в уже существующие локальные группы, например libvirt или tcpdump.

Я знаю, что могу редактировать /etc/group для каждого нового пользователя, но я ищу что-то более надежное. Убедиться, что стек pam включает pam_group, было бы менее проблематично.
На самом деле это то, что я уже делаю, но необходимость повторно запускать доступную игру, чтобы делать это каждый раз, когда пользователь добавляется или удаляется из каталога, - это немного.

С помощью group: files [SUCCESS=merge] sss еще не вариант, поскольку он был добавлен в glibc 2.24, а CentOS7 использует glibc-2.17-106.el7_2.8 и я не могу найти никаких примечаний к обратному порту для этой функции. Однако это все же не праздный вариант.

Я не уверен, если authconfig звонки pam-auth-update где-то в этом коде, но если вы добавили конфигурацию в /usr/lib/pam-configs и беги authconfig или path-auth-update затем он должен прочитать файл и ввести pam_group в соответствующее место в /etc/pam.d/ файлы. Посмотри это ответ.

Что-то вроде приведенного ниже в / usr / share / pam-config / load-groups должно работать.

Name: activate /etc/security/group.conf
Default: yes

Priority: 900
Auth-Type: Primary Auth:
        optional                        pam_group.so

Чем выше номер приоритета, тем раньше он срабатывает, а pam_group фактически не проверяет пароль, поэтому, в отличие от некоторых других примеров (например, официального Ubuntu), вы можете оставить это отключенным.

Просто отредактируйте /etc/groups и добавьте туда своего пользователя :)

У меня есть собственный пользователь LDAP, входящий в mock group, чтобы я мог создавать RPM в chroot:

$ grep mock /etc/group
mock:x:135:jhrozek

Единственная загвоздка в том, что вам нужно будет выйти и снова войти, потому что группы создаются только при входе в систему.