У нас есть (старая и выросшая) инфраструктура Linux-машин (в основном, debian). Для аутентификации пользователей мы используем LDAP, где мы определили несколько групп с разными правами доступа. К несчастью, одна из этих групп называется staff которое стало стандартным именем группы в debian. Следствием этого является то, что всякий раз, когда обновляется пакет, имеющий какое-либо отношение к группам (например, passwd) он создает на машине локальную группу персонала, которая затмевает группу персонала LDAP. Следствием этого является то, что логины больше не работают и т.
Поскольку инфраструктура не нова, было бы очень сложно изменить имя группы, поскольку оно появляется в различных файлах конфигурации на разных машинах.
Вопрос: как отключить файл локальной группы (навсегда)? Или есть другое решение?
В настоящее время мы должны вручную удалить группу местного персонала из /etc/groups после каждого обновления, которое его создает.
Что было безуспешно:
nsswitch.conf из group: files ldap к group: ldap files -> Эффект: система зависает при загрузке. Как отключить файл локальной группы (навсегда)?
Это не хорошая идея (тм). Попытки сделать это были бы очень "впечатляющий"
Или есть другое решение? Вы упомянули следующее, что похоже на то, что это происходит всякий раз, когда серверы исправляются и перезагружаются. "... всякий раз, когда обновляется пакет, имеющий отношение к группам ..."
Одним из «наименее эффективных» решений было бы создание собственного сценария инициализации для удаления staff группа из /etc/group когда система изменила уровни выполнения (какие именно зависят от процедуры, которую вы используете для исправления серверов)
См. Документацию Debian в их сценариях инициализации для подробностей.