Добрый день ) Помогите разобраться пожалуйста ..
Есть сеть в которой АРМы на Debian, Gentoo, CentOS. Пользователи могут работать на разных АРМах но профиль один на NFS сервере, и он подгружается автоматом.
Решил сделать единую авторизацию через LDAP. Настроил сервер, прикрутил LAM, залил базу пользователей с паролями, залил системные группы Debian (7 lp, 27 sudo, 44 video ну и далее по списку). Настроил на Debian машинах sssd, pam. В общем все живет работает, супер удобно.
Пользователи в ou=people,dc=ppp,dc=ru
Группы в ou=group,dc=ppp,dc=ru
Мне бы догадаться, что группы системные разные могут быть в дистрибутивах, а так же пересекаться... но нет. Погнал настраивать дальше АРМы с Calculate Linux. sssd и pam настроил, все работает, пользователь авторизуется ... а вот с правами что то не ладное. Оказалось, что пересекаются системные группы, например: 27 в Дебиан это SUDO, а в Кальке это Video. Или 10 в Дебиан это LPADMIN, а в Кальке это WHEEL.
тогда я догадался разбить группы по операционкам типа:
Дебиан ou=deb,ou=group,dc=ppp,dc=ru
Калька ou=calc,ou=group,dc=ppp,dc=ru
и думал, что смогу сделать так:
cn=sudo,ou=deb,ou=group,dc=ppp,dc=ru где GID 27
и
cn=video,ou=calc,ou=group,dc=ppp,dc=ru где GID 27
соответственно на АРМах в sssd.conf я вместо ldap_search_base = dc=porttlt,dc=ru
явно указываю на Дебиан машинах:
ldap_group_search_base = ou=deb,ou=group,dc=porttlt,dc=ru
на Кальке соответственно:
ldap_group_search_base = ou=calc,ou=group,dc=porttlt,dc=ru
и каждой системе будет прилетать нужный набор групп,
я ошибался. LAM не дает создать в разных суффиксах группы с одним GIDом
Как мне быть? подскажите пожалуйста )
