Назад | Перейти на главную страницу

Active Directory, Linux и частные группы пользователей

Мы находимся в процессе перехода от NIS в наших системах Linux к привязке всего к Active Directory. Среда NIS следует общему стандарту, используемому во многих дистрибутивах Linux, согласно которому основная группа пользователя является группой с тем же именем, что и пользователь (и в которой пользователь обычно является единственным членом).

Мне сообщили, что в среде Active Directory у вас может не быть имени группы с тем же именем, что и у пользователя (в частности, два объекта безопасности AD не могут иметь одинаковое имя). Это могло бы усложнить процесс переноса определений наших групп в AD. Похоже, что мы могли бы поддерживать информацию о группе NIS в AD, используя только атрибуты POSIX (например, не реальный объект безопасности AD), но это кажется неоптимальным исправлением (потому что мы действительно хотим иметь одинаковое представление о членстве в группах в обоих миры Unix и AD).

Вы переместили большую устаревшую среду NIS в Active Directory? Как вы справились с этой ситуацией?

Я тоже столкнулся с той же проблемой. После прочтения большого количества документов я пришел к следующему «решению»:

  • Чтобы обойти конфликт имен, я переименовал частные группы пользователей, добавив в начале символ «g». Например: Пользователь = Эрик, Группа = Эрик. Теперь в активном каталоге я назвал группу «герик». Таким образом, я могу продолжать концентрироваться на миграции AD, не думая о проблеме частных групп пользователей прямо сейчас.

  • Постепенно прекратите использование частных групп пользователей, поскольку это не лучший вариант - по крайней мере, при использовании Active Directory. Это можно сделать, создав новую группу, например «unixgrp», или используя «Пользователи домена», но мне не нравится «Пользователи домена», потому что это имя слишком длинное при отображении файлов с «ls».

  • будьте осторожны при миграции из частных групп пользователей в общую группу, такую ​​как "unixgrp". Не просто меняйте группу всех файлов на "unixgrp". Если, например, у пользователя есть групповые права на запись в файл, принадлежащий его частной группе пользователей, и вы измените группу на «unixgrp», то все пользователи в «unixgrp» также будут иметь доступ на запись в этот файл. Так что какой-то скрипт должен правильно изменять разрешения ... получайте удовольствие!

Я признаю, что единственное реальное решение, которое могло бы заключаться в том, чтобы как-то поддерживать частные группы пользователей при использовании активного каталога. Но я не знаю как...

Точно так же есть продукт под названием Модуль инструмента управления UID-GID что можно использовать с Аналогично Открыть для улучшения контроля над сопоставлением uid / gid с Active Directory.

Из списка функций:

Mirror your organizational units with Likewise cells and map Active Directory users and groups to UIDs and GIDs.

Я использовал Likewise Open, и он работает достаточно хорошо, но мне не нужно было приобретать этот модуль.