Ldap + linux клиент, не догоняю..

0

0

Задачка такая, есть сетка гетерогенная, вин машины пока не будем трогать, будем трогать несколько linux станций которые хочется использовать с пользователями в ldap и /home на сервере через nfs. это все сделано, это все работает.Хочется чтобы пользователь перемещался аки пчела с станции на станцию, и мог работать со своим home, это тоже работает, но есть нюанс. ( клиенты Kub 8.04)

1. На компе 1 есть пользователь Вася, который там работал до того как замутилась вся эта схема. Васе нужно пользоваться sudo, а в sudo Васю пускает потомучто он в группе admin, и вот Вася переходит на комп 2, вбивает в kdm логин пасс, и заходит в свою учетку, и в принципе может работать, но вот Вася хочет запустить че нить с помощью sudo ( или не судо, но суть та же) но его не пускает, говорит что Вася не sudoer, а а почему, а потому что на компе 2 в группе admin пользователь Петя, и про Вась group ничего не знает.... и такая же ситуация может быть с кучей других системных групп.

2.прописывать на каждом компе в группы всех пользователей? Нахрен тогда вообще лдап...

3. Отаказываться вообще от passwd, shadow, и перегонять все в ldap? а если надо в сингле загрузиться? Мутить из полноценного компа бездисковую станцию не хочется.

В общем вот такой трабл... что посоветуете с системными группами?

Ссылка

←	vlan + dhcp на linux, dhcp не работает...

Посоветуйте систему управления как фотографиями так и просто файлами.

→

> 2.прописывать на каждом компе в группы всех пользователей? Нахрен тогда вообще лдап...

Можно и группы хранить в LDAP. Тогда получается вообще без проблем.

> 3. Отаказываться вообще от passwd, shadow, и перегонять все в ldap? а если надо в сингле загрузиться? Мутить из полноценного компа бездисковую станцию не хочется.

Отказываться, конечно, не нужно. А вот всех пользователей/пароли (кроме root и системных) вынести в ldap, чтобы не было всяких локальных Петь, васей и т.д. Группы тоже вынести по такому же принципу.

В /etc/nsswitch.conf Просто прописать

passwd: files ldap

shadow: files ldap

group: files ldap

И именно в таком порядке. Тогда сначала поиск пользователей/групп/паролей будет производиться сначала в файлах, а затем уж, если не нашло, в LDAP. При такой схеме и на случай init 1 будет работоспособная система, и пользователи/пароли/группы будут едины. ИМХО, это то, что и требуется.

Slavaz ★★★★★
(30.06.08 02:51:45 MSD)

Ссылка

>кроме root и системных
системные тоже желательно вынести в ldap.

http://www.barabanov.ru/arts/LDAPremarks-2.pdf - тут можно подсмотреть некоторые идеи перехода на ldap, как общей пользовательской базы.

markevichus ★★★
(30.06.08 18:31:08 MSD)

Ответ на: комментарий от markevichus 30.06.08 18:31:08 MSD

хм... интересное чтиво. Надеюсь те кто делает себе авторизацию пользователей linux станций в лдапе осознают какая это дыра в безопасности. Возвращаясь к нашим баранам, я так понимаю что придется перенести все системные группы и пользователей в ldap. (О_о) и отключить просмотр в локальной базе (О_О) и молиться на работоспособность сети и сервера.... либо каким то образом придумать механизм выбора passwd ldap как это реализовано в Win, с ее локальным входом и доменом. Последнее предпочтительнее... но как это сделать я не представляю.

Sargan ★
(01.07.08 03:54:52 MSD) автор топика

Ответ на: комментарий от Sargan 01.07.08 03:54:52 MSD

>Отказываться, конечно, не нужно. А вот всех пользователей/пароли
>(кроме root и системных) вынести в ldap, чтобы не было всяких
>локальных Петь, васей и т.д. Группы тоже вынести по такому же принципу

Я наверное объяснил не правильно. вот пример моего локальноого group на ноуте...

$ cat /etc/group | grep ivan

adm:x:4:ivan
dialout:x:20:ivan,test
cdrom:x:24:ivan,test
floppy:x:25:ivan,test
audio:x:29:ivan,test,pulse
dip:x:30:ivan
video:x:44:ivan,test
plugdev:x:46:ivan,test
fuse:x:107:ivan
lpadmin:x:109:ivan,test
admin:x:114:ivan
ivan:x:1000:
vboxusers:x:121:ivan

А теперь представьте что мне нужно создать ldap пользователя ivan и удалю его локально... он будет состоять в системных группах, а это необходимо, что бы просто звук поиметь, но ОДНОМ компьютере, там где он был до лдапа локальным. Соответсвенно Вася будет на другом, Петя на третьем, а чтобы они могли работать без проблем на каждом компе мне нужно будет ввести кажного пользователя в системную группу на КАЖДОМ компе, а если пользователей будет 200?

Sargan ★
(01.07.08 04:07:43 MSD) автор топика

Ответ на: комментарий от Sargan 01.07.08 04:07:43 MSD

Кстати ссылка неверная. Док вот здесь http://www.barabanov.ru/arts/LDAPremarks-draft-2.pdf

Sargan ★
(01.07.08 04:10:51 MSD) автор топика

Ссылка

Ответ на: комментарий от Sargan 01.07.08 04:07:43 MSD

Для управления звуком достаточно добавить пользователя в группу audio.

anonymous
(01.07.08 11:21:40 MSD)

Ответ на: комментарий от anonymous 01.07.08 11:21:40 MSD

Логично, но на КАЖДОМ из 200 компов, нужно добавить 200 пользователей в локалбную группу audio? Это ж ппц.

Sargan

anonymous
(01.07.08 11:24:03 MSD)

Ответ на: комментарий от anonymous 01.07.08 11:24:03 MSD

Ну тогда и перечисленные системные группы вынеси в LDAP. На telinit 1 это никак не скажется

Slavaz ★★★★★
(01.07.08 12:29:44 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	vlan + dhcp на linux, dhcp не работает...

Admin

Посоветуйте систему управления как фотографиями так и просто файлами.

→

Похожие темы