Remplacer les groupes par défaut de Debian par LDAP

C'est une chose qui m'a toujours dérangé: comment puis-je gérer les groupes standard Debian pour les users LDAP?

Debian a un certain nombre de groupes définis par défaut, par exemple plugdev, audio, cdrom, etc. Ces access de contrôle dans Debian standard sont installés.

Quand je veux qu'un user de LDAP appartienne au groupe `audio 'sur toutes les machines auxquelles il se connecte, j'ai essayé quelques choses différentes:

  • En les ajoutant au groupe local sur la machine (cela fonctionne mais est difficile à entretenir)
  • Création d'un groupe dans LDAP avec le même nom et un GID différent, puis ajoutant l'user à ce groupe (casse le mappage GID inversé / vers l'avant, ne semble pas fonctionner)
  • Créer un groupe dans LDAP avec le même nom et le même GID et append l'user à ce groupe (ne semble pas fonctionner du tout, les choses ne voient pas les membres du groupe LDAP)
  • Création d'un groupe dans LDAP avec le même nom et le même GID puis suppression du groupe local (cela fonctionne mais perturbe les scripts de maintenance de Debian lors des mises à niveau qui vérifient la santé mentale locale)

Quelle est la meilleure pratique pour ce scénario?

Votre troisième sharepoint balle devrait résoudre ce problème, car j'ai fait exactement la même chose auparavant. La key est la façon dont /etc/nsswitch.conf est défini pour le type de search de groupe. Vous voudriez que ldap soit défini avant les files, de sorte qu'il search le directory LDAP d'abord pour n'importe quel groupe et, par conséquent, il remplace car il utilisera la première correspondance et sautera les services de noms définis restants.

Donnez-lui un coup ou publiez la ligne de groupe à partir de /etc/nsswitch.conf.