Назад | Перейти на главную страницу

Что делать, если локальные имена пользователей конфликтуют с именами пользователей в сети

Мы используем Puppet для управления нашими настольными компьютерами Linux и SSSD для аутентификации наших пользователей в центральной системе аутентификации. Недавно при настройке нескольких новых машин мы обнаружили, что puppet останавливается в процессе установки пакетов программного обеспечения. Виновником был пакет kdm, который пытается добавить локального пользователя kdm, когда недавно к центральному органу было добавлено имя пользователя kdm.

Обычно я вижу, что эта проблема решается с помощью механизма разделения пространства имен (например, доменов Windows), но мое короткое время в администрировании Linux на самом деле не помогает мне найти хороший способ сделать это.

Я могу придумать несколько общих идей, как это исправить (от самого элегантного до наименее элегантного):

  1. Найдите хороший способ отделить имена пользователей системы от имен центральных пользователей, чтобы такие конфликты в будущем не были проблемой.
  2. Используйте какой-нибудь флаг для dpkg, чтобы заставить пакет kdm добавить другое имя пользователя (или никого не использовать).
  3. Заставьте dpkg добавить пользователя. Это не позволит пользователю войти в наши системы, но есть большая вероятность, что это не будет проблемой.

Конечно, (2) и (3) не устраняют основную проблему, но если решение в духе (1) особенно вредно для нашей текущей настройки, что-то вроде (2) или (3) может быть более предпочтительным. .

Придумайте лучшую схему именования пользователей ... (или заставьте "kdm" использовать другие учетные данные)

Мне пришлось усвоить этот урок на протяжении многих лет, поскольку я унаследовал коммерческие системы Unix с трехбуквенными именами пользователей. При переносе этих серверов на Linux возникли конфликты с учетными записями системных служб. Худший случай был Рэнди П. Макдональд, или userID "об / мин". Менеджер пакетов RPM в системах на базе Redhat использует учетную запись "rpm".

Со временем возникли и другие конфликты. Имена пользователей «adm», «lp» и «ftp» время от времени вызывали проблемы.

Мое постоянное исправление заключалось в том, чтобы изменить схему именования пользователей, чтобы сделать ее более надежной. Три инициала не так масштабируемы.

Это часть познания вашего окружения. Вы используете настольный Linux (предположительно с KDM в качестве оконного менеджера вместо Gnome), и пользователь "kdm" является ключевым для этого с точки зрения разрешений и работы системы.

Любые изменения, которые вы вносите в индивидуальный пакет или dpkg потребует от вас запоминания этого шага при обновлении систем, переходе на новые версии ОС и т. д. Добавление пользователя, вероятно, приведет к появлению фанковых разрешений.