Назад | Перейти на главную страницу

OpenLDAP / SSSD автоматически добавляет пользователя в локальную группу

У меня есть множество серверов, на которых работают различные варианты Linux, все настроены как клиенты OpenLDAP через SSSD. Я добавил группу LDAP (системные администраторы). Я также добавил группу системных администраторов на все свои серверы. Члены группы системных администраторов со временем будут меняться.

Как мне добавить всех пользователей из группы LDAP в локальную группу при входе в систему?

Согласно документации ubuntu, вы можете сопоставить пользователей домена с локальными группами, я не уверен, применимо ли это к любой ОС, но, похоже, используются стандартные модули, которые должны быть в любой системе * nix.

Из Документы Ubuntu

Назначьте пользователям локальные группы

Чтобы назначить локальные группы пользователю домена (ldap), отредактируйте /etc/security/group.conf и добавьте в него что-то вроде следующего (войдите в систему как локальный пользователь и запустите команду groups, чтобы проверить, что добавить):

*;*;*;Al0000-2400;audio,cdrom,dialout,floppy

Чтобы получить pam_group модуль работает, вы можете создать файл вроде /usr/share/pam-configs/my_groups:

Name: activate /etc/security/group.conf
Default: yes

Priority: 900
Auth-Type: Primary Auth:
        required                        pam_group.so

и активируйте его, запустив pam-auth-update.

Это примерно равно редактированию /etc/pam.d/common-auth вручную и добавив следующую строку перед любым pam_ldap и pam_krb5 настройки:

auth required pam_group.so

Теперь у вас должны появиться локальные группы для пользователей, выполняющих вход через gdm и ssh, и вы можете проверить это, выполнив id или groups.

Завершить

Чтобы убедиться, что все работает, выполните следующее:

pam-auth-update
/etc/init.d/nscd restart

На данный момент есть один способ сделать это - вы можете либо добавить пользователя на каждый хост локально, а затем добавить участника из LDAP в / etc / groups.

Второй способ в настоящее время разрабатывается для glibc и не появится в RHEL раньше, чем 7.3, но вы можете прочитать об этом здесь: https://sourceware.org/glibc/wiki/Proposals/GroupMerging

Это в основном позволило бы вам определить группу как локально, так и в LDAP, и позволить libc объединить содержимое группы.