Назад | Перейти на главную страницу

Группы LDAP не применяются к разрешениям файловой системы

Система - ArchLinux, и я использую nss-pam-ldapd (0.8.13-4) для подключения к ldap.

Соответствующие файлы конфигурации:

У меня есть мои пользователи и несколько групп в LDAP:

[root@kain tmp]# getent group
<localgroups snipped>
dkowis:*:10000:
mp3s:*:15000:rkowis,dkowis
music:*:15002:rkowis,dkowis
video:*:15003:transmission,rkowis,dkowis,sickbeard
software:*:15004:rkowis,dkowis
pictures:*:15005:rkowis,dkowis
budget:*:15006:rkowis,dkowis
rkowis:*:10001:

И у меня есть каталоги, в которых установлен gid video так что группа видео остается, и они настроены g = rwx так, чтобы члены video группа может написать им:

[root@kain video]# ls -ld /srv/video
drwxrwxr-x 8 root video 208 Oct 19 20:49 /srv/video

Однако члены этой группы говорят, что dkowis не может писать в этот каталог:

[root@kain video]# groups dkowis
mp3s music video software pictures dkowis

Общее количество групп, в которых состоит dkowis, примерно 7, я отредактировал несколько здесь.

[dkowis@kain wat]$ cd /srv/video
[dkowis@kain video]$ touch something
touch: cannot touch 'something': Permission denied

[dkowis@kain video]$ groups
dkowis mp3s music video software pictures

Я не понимаю, почему мои группы появляются в getent groups, но права моей файловой системы не соблюдаются. Я пробовал создать новый каталог в /tmp и установив права группы на rwx, а затем пытаясь записать туда файл, это не сработает. Единственный раз, когда это сработает, это если я открою его широко, позволяя o = rwx. Очевидно, это не то, что я хочу, и я не могу понять, что мне не хватает.

Заранее спасибо.

EDIT: остановка nscd тоже не повлияла. Похоже, это не проблема кеширования.

РЕДАКТИРОВАТЬ: немного истекает:

Локально определенные группы работают нормально, похоже, это влияет только на группы LDAP, добавленные в / etc / group:

test:x:15007:dkowis
mkdir /tmp/wat
chgrp test /tmp/wat
chmod g+rws /tmp/wat
su - dkowis
cd /tmp/wat
touch something
[dkowis@kain wat]$ ls -la
total 0
drwxrwsr-x 2 root   test  60 Oct 22 11:26 .
drwxrwxrwt 8 root   root 160 Oct 22 11:26 ..
-rw-r--r-- 1 dkowis test   0 Oct 22 11:26 something

Вы столкнулись с конфликтом пространства имен.

По умолчанию /etc/nsswitch.conf настроен на просмотр сначала файлов, затем внешних источников.
group: files ldap.

Это означает, что группа видео из /etc/group будет соответствовать перед группой видео в ldap. Это можно увидеть, запустив getent group video.