Переопределение групп Debian по умолчанию из LDAP

Меня всегда беспокоил вопрос: как лучше всего обрабатывать стандартные группы Debian для пользователей LDAP?

В Debian по умолчанию определено несколько групп, например plugdev, audio, cdrom и так далее. Они управляют доступом в стандартных установках Debian.

Когда я хочу, чтобы пользователь из LDAP был членом группы «audio» на всех машинах, на которые он входит, я пробовал несколько разных вещей:

Добавление их в локальную группу на машине (это работает, но сложно поддерживать)
Создание группы в LDAP с тем же именем и другим GID, а затем добавление пользователя в эту группу (прерывает обратное / прямое сопоставление GID, похоже, не работает)
Создание группы в LDAP с тем же именем и тем же GID и добавление пользователя в эту группу (похоже, вообще не работает, все не видят членов группы LDAP)
Создание группы в LDAP с тем же именем и тем же GID, а затем удаление локальной группы (это работает, но нарушает сценарии обслуживания Debian во время обновлений, которые проверяют работоспособность локальной системы)

Что лучше всего подходит для этого сценария?

debian ldap

Ваш третий пункт должен решить эту проблему, поскольку я делал то же самое раньше. Ключ в том, как /etc/nsswitch.conf определяется для типа поиска группы. Вы бы также хотели, чтобы ldap определялся перед файлами, чтобы он сначала искал в каталоге LDAP любую группу и, таким образом, переопределил, поскольку он будет использовать первое совпадение и пропускать оставшиеся определенные службы имен.

Попробуйте это или опубликуйте строку группы из /etc/nsswitch.conf.

Я не уверен, как все работало в прошлом, но я пишу это для тех, кто ищет решение сейчас и в будущем.

В Ubuntu 16.04, с вашим третьим пунктом, я это сделал. Здесь важно сделать ldap вход пришел ПОСЛЕ files запись в строке группы в /etc/nsswitch.conf.