Предоставьте права доступа к файлам группы LDAP конкретному пользователю
Вот ситуация:
- Я хочу, чтобы у пользователя usr были те же права доступа, что и у группы grp в любом месте системы.
- grp не является локальной группой, она исходит от сервера LDAP, над которым я не могу контролировать.
У меня нет большого опыта работы с Linux, поэтому я провел небольшое исследование и нашел два возможных способа добиться этого:
- Создать локальную группу с тем же именем и сделать usr частью Это. Однако я не уверен, как это повлияет на удаленных пользователей из исходного grp . Нужно ли мне вносить изменения в файл конфигурации NSS, чтобы это работало правильно? Какой должна быть конфигурация в этом случае?
- Используйте ACL, чтобы предоставить usr разрешения. Моя проблема в том, что это кажется сложным. Насколько я знаю, автоматического способа делать то, что я хочу, не существует, мне пришлось бы создать сценарий, который просматривает файловую систему, проверяя разрешения группы для каждого файла и каталога, а затем давая usr то же самое. разрешения. Я что-то упускаю, или это будет единственный выход?
Это невозможно сделать без изменения базы данных LDAP. Вы можете добавить локальных пользователей в группы LDAP, но это должно быть сделано на сервере LDAP.
Проблема в том, что локальные группы и группы LDAP - это разные "миры". Система может быть настроена на использование обеих, но одна из них будет основной, а другая - вторичной. Если что-то найдено в первичном источнике, вторичный не будет запрошен. Это делает ваш первый способ невозможным: локальная группа затмит группу LDAP (или, если LDAP является первичной, она просто будет проигнорирована).
Второй подход может работать, однако, как вы сказали, он сложный, ресурсоемкий (обращение к файловой системе может генерировать много IO), хрупкий и больше похож на хак, чем на реальное решение.
Я думаю, что лучшим способом будет попросить администратора LDAP-сервера включить пользователя в группу grp. Также, я могу ошибаться, но мне кажется, что это XY проблема.