У меня есть множество серверов, на которых работают различные варианты Linux, все настроены как клиенты OpenLDAP через SSSD. Я добавил группу LDAP (системные администраторы). Я также добавил группу системных администраторов на все свои серверы. Члены группы системных администраторов со временем будут меняться.
Как мне добавить всех пользователей из группы LDAP в локальную группу при входе в систему?
Согласно документации ubuntu, вы можете сопоставить пользователей домена с локальными группами, я не уверен, применимо ли это к любой ОС, но, похоже, используются стандартные модули, которые должны быть в любой системе * nix.
Назначьте пользователям локальные группы
Чтобы назначить локальные группы пользователю домена (ldap), отредактируйте /etc/security/group.conf и добавьте в него что-то вроде следующего (войдите в систему как локальный пользователь и запустите команду groups, чтобы проверить, что добавить):
*;*;*;Al0000-2400;audio,cdrom,dialout,floppy
Чтобы получить
pam_group
модуль работает, вы можете создать файл вроде/usr/share/pam-configs/my_groups
:Name: activate /etc/security/group.conf Default: yes Priority: 900 Auth-Type: Primary Auth: required pam_group.so
и активируйте его, запустив
pam-auth-update
.Это примерно равно редактированию
/etc/pam.d/common-auth
вручную и добавив следующую строку перед любымpam_ldap
иpam_krb5
настройки:
auth required pam_group.so
Теперь у вас должны появиться локальные группы для пользователей, выполняющих вход через gdm и ssh, и вы можете проверить это, выполнив id или groups.
Завершить
Чтобы убедиться, что все работает, выполните следующее:
pam-auth-update /etc/init.d/nscd restart
На данный момент есть один способ сделать это - вы можете либо добавить пользователя на каждый хост локально, а затем добавить участника из LDAP в / etc / groups.
Второй способ в настоящее время разрабатывается для glibc и не появится в RHEL раньше, чем 7.3, но вы можете прочитать об этом здесь: https://sourceware.org/glibc/wiki/Proposals/GroupMerging
Это в основном позволило бы вам определить группу как локально, так и в LDAP, и позволить libc объединить содержимое группы.