Intereting Posts
Сессия SSH приостанавливает средний поток данных; возобновляется с помощью нажатия клавиши Двойное сиденье в Linux с 3D-ускорением и одной видеокартой Список сообщений об ошибках, доступных для команды в Unix Жесткая привязка файлов других пользователей Как заставить tar жестко привязать идентичный контент «на лету» во время создания архива? Есть ли ярлык для повторного запуска команды с аргументами из последней команды (не cd, ls или echo) r8169 перестает работать через некоторое время Как отображать строки 2-4 после каждого результата grep? Как объединить два файла «на лету» и ссылочный результат как новый файл? Как перейти на компакт-диск? Как удалить файлы одинакового размера в каталоге? Настройки DPI в Awesome window manager Установка отдельных пакетов из Solaris .iso Как вы перечисляете все файлы, созданные пользователем после чистой установки? Почему система вернулась к старым данным после перестройки raid 1

LDAP: локальный и удаленный пользователь с одинаковым именем пользователя

Я настроил сервер openLDAP с идентификаторами пользователей и групп LDAP, начиная с 10000. Мой клиент успешно связывается с сервером LDAP через ldapsearch . Кроме того, группа getent passwd|group возвращает полный список локальных и удаленных (LDAP) пользователей. Мой локальный пользователь на клиенте, johndoe (uid = 1000), также существует в каталоге LDAP как uid 10000. Перекрывающиеся локальные и LDAP-пользователи (только общие имена пользователей) имеют разные пароли.

Сценарий 1. На моем клиенте Linux Mint 17, когда вы входите в систему как johndoe через рабочий стол Cinnamon, команды id -G и id -G <user> возвращают другой набор групп:

 $ whoami johndoe :~$ id -G 1000 4 7 24 27 30 33 46 100 112 118 119 :~$ id -G johndoe 1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10005 10006 10007 10008 10004 10009 10010 

Обратите внимание, что gids> 10000 находятся в каталоге LDAP, и они появляются только в том случае, если имя пользователя явно указано.

Сценарий 2. После переключения пользователей на удаленную учетную запись johndoe (аутентификация с помощью пароля LDAP) действительные и реальные идентификаторы совпадают:

 :~$ whoami johndoe :~$ su johndoe Password: :~$ whoami johndoe :~$ id -G 1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10004 10005 10006 10007 10008 10009 10010 :~$ id -G johndoe 1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10005 10006 10007 10008 10004 10009 10010 

Согласно первому сценарию, мои сети CIFS, которые настроены для доступа только для пользователей и групп LDAP, не могут быть прочитаны. Однако после переключения пользователей, как показано во втором сценарии, эти же акции доступны, как первоначально предполагалось.

Поскольку я новичок в LDAP, мое незнание, без сомнения, полностью отображается на этом посту. Тем не менее, какие лучшие практики для перекрытия локальных и удаленных имен пользователей (т. Е. Не делайте этого, сохраняйте отдельные uids, комбинируйте пароли и т. Д.) И как я могу настроить мой клиент для использования групп LDAP по умолчанию – тем самым избегая второго входа?

FWIW, /etc/nsswitch.conf на клиенте содержит:

 passwd: files ldap group: files ldap shadow: files ldap 

Ядро клиента:

 :~$ uname -a Linux my-client 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux