我觉得问起来有点愚蠢,因为我觉得这是一个非常基本的问题,但无论如何我还没有找到解决方案:
我有一个 Linux 数据服务器和几个使用 NFS 在此数据服务器上安装文件夹的工作站。该系统的设置方式是用户在服务器和工作站上都具有相同的 uid。没有集中的用户管理,但帐户是相应计算机上的本地帐户。
现在我想通过为特定目的创建组并将相应的用户添加到服务器上的这些组来控制数据服务器上的文件访问。但是,当在工作站上安装目录时,我面临的问题是组只存在于服务器上,而工作站似乎不知道特定用户是否是服务器上某个组的成员。我想避免在每个工作站上创建所有组,而只在服务器上管理它们。这可能吗?
提前感谢您的任何回复!
我们曾经有一个域(foo),但域控制器机器已经死了很长时间。
我以用户身份登录到我的 Windows 10 工作站,foo\mike并希望添加foo\mike到已经foo\Administrator作为用户的本地组。
无法选择foo\mike此本地组的附加用户,因为它“不是来自选择位置对话框中列出的域”。这当然是有道理的。
是否可以以某种方式将此域用户添加到本地组,或者是我构建域控制器的唯一选择,以便foo域再次存在(即使那样我也不知道foo\mike在新 AD 中设置是否可行)?
我知道活动目录中安全组和通讯组的基本用途。安全组用于访问网络资源,而通讯组用于在邮件中发送通讯组列表。但我的疑问是,安全组也可用于使用启用邮件的安全组将邮件分发到该组。如果安全组已用于安全和分发邮件,那么在活动目录中使用分发组有什么需要?
我有一个 GID,它存在于getent数据库中,但不在/etc/group中:
$ getent group 61876
earlyoom:x:61876:
$ cat /etc/group | grep earlyoom
$
这是正常的还是我应该担心?他们不应该有匹配的结果吗?
编辑:fedora 32
我相信我确实了解我所读到的关于 AGDLP 的内容。但是,我所阅读的内容并没有解释使用全局组来实现业务角色/工作职能的优势或使用本地组的劣势。
所以假设我有一个森林/域,假设功能级别超过 2008 年。这个域的服务器成员有一个本地管理员组。在这个本地管理员组中,我分配了 1 个域本地组,我们将其命名为 LocalAdmin_server1 现在在这个组中,我想添加其他组,包含不同工作角色/团队的用户的组,例如 JobRole1、JobRole2、Team3 为什么会有 JobRole1、 JobRole2,Team3 组是全球性的,还是让他们作为本地组是一个问题?
我有一个用于 WPA 身份验证(PEAP + MSCHAPv2)的 FreeRADIUS (3.0.15) 服务器,一切都是开箱即用的,即使感觉就像在封闭的修道院中学习一辈子才能掌握配置的每一点。
我在文件中有我的用户,users我想保持这种方式(相对于 sql 或 ldap),因为我喜欢使用简单的文本编辑器编辑用户的便利。
我要完成的工作:
我有两个 SSID (staff和guests),我想将我的用户分成两组,这样如果来宾用户尝试在staffSSID 上进行身份验证,就会被拒绝。
到目前为止我所拥有的:
在我的users文件中:
DEFAULT
MyGroup := 'guests',
Fall-Through := Yes
# Guest users
guest1 Cleartext-Password := 'password1'
# End of guest users
DEFAULT
MyGroup := 'staff',
Fall-Through := Yes
# Staff users
staff1 Cleartext-Password := 'kdjsfhksf'
# End of staff users
我的希望是,在解析文件之后,该reply:MyGroup属性具有staff或guest取决于与请求匹配的用户。
我的dictionary文件有这个:
ATTRIBUTE MyGroup 3000 string
我的default网站在authorize组中就有这个,就在files模块之后。rewrite_called_station_id创建了一个新属性Called-Station-SSID,我使用它沿着 mod 创建的attrMyGroup来files尝试过滤用户:
# get SSID from Called-Station-Id
rewrite_called_station_id
# check guest connecting to staff SSID and reject if so
if (&MyGroup == 'guests' && &Called-Station-SSID == 'STAFF') {
reject
}
我也试过这个:
if (&reply:MyGroup == 'guests' && &Called-Station-SSID == 'STAFF') {
但无论如何我都会收到以下错误:
if (&reply:MyGroup == 'guests' && &Called-Station-SSID == 'STAFF') {
ERROR: Failed retrieving values required to evaluate condition
在这一点上,我不知道发生了什么以及如何解决它。
我知道在设置了 GID 位的目录中创建的文件将继承目录的组所有权。但是,这不适用于移动到该目录的文件,如https://en.wikipedia.org/wiki/Setuid#setuid_and_setgid_on_directories中所述
碰巧用户将文件移动到共享文件夹而不是复制它们或创建新文件,现在共享文件夹中的文件并非所有人都可以访问。
有一个shread文件夹
john:/home/common$ ls -l
drwxrws--- 15 john users 4096 Feb 11 09:14 shared
和私人文件夹中的文件。
john:/home/john$ ls -l
-rw-rw---- 1 john john 512 Feb 11 09:14 test.txt
该文件将移至共享文件夹。它保留了组所有权。
john:/home/common/shared$ mv /home/john/test.txt .
john:/home/common/shared$ ls -l
-rw-rw---- 1 john john 512 Feb 11 09:14 test.txt
当文件移动到shared时,组保持不变john,不会更改为users。如果文件被复制,则组更改为users.
尽管从系统的角度来看,这种行为是合乎逻辑的,但从用户的角度来看,这并不是所期望的。
有没有办法配置shared目录,以便为移动的文件自动更改组?实现这一目标的最佳实践是什么?
我们的用户和组 LDAP 配置正在运行。
我们的服务器使用 LDAP 来存储用户和组。
# /etc/nsswitch.conf :
passwd: compat ldap
group: compat ldap
shadow: compat ldap
但是今天我们在 LDAP 中添加了一个新组,有 3 个用户,然后添加了其他用户。3 个用户在组中,但其他用户不在组中。
我们可以通过使用“groups”看到这一点:更准确地说,“getent group GROUPNAME”显示组中的用户,而“groups”不显示该用户的组......?!
因此我试图理解:
抱歉,我的问题没有更准确,但我真的不知道从哪里开始......
PS 配置文件
# /etc/ldap/ldap.conf
URI ldap://172.16.1.232
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
# /etc/pam_ldap.conf
base dc=ourdomain,dc=ch
uri ldap://172.16.1.232/
ldap_version 3
rootbinddn cn=admin,dc=ourdomain,dc=ch
pam_password crypt
在运行 Windows 7 的 Active Directory 域成员上,我有一个本地组。它有用户和其他组作为成员:
如何获取此本地组的每个成员的 SID? 我知道 Sysinternals 实用程序PSGetSid但它似乎无法枚举组成员。
我有一个运行的 Debian 8 服务器,该服务器/var/www由文件和子目录拥有www-data并具有权限drwxr-xr-x。
由于我需要通过 SFTP 上传文件(公钥/私钥身份验证;密码和未加密的 FTP 被阻止)我认为将我的用户帐户添加到组应该没有问题www-data。因此,我执行:
sudo usermod --append --groups www-data my-user
我已经注销了当前的 SSH 会话以触发重新加载权限。id my-user现在显示:
uid=1000(my-user) gid=1000(my-user) groups=1000(my-user),33(www-data)
但是,我仍然无法通过 SFTP 在/var/www. 即使是简单的touch test.txt直接通过 SSH 也失败了Permission denied。
我以为rwx是read,write和execute。显然我对目录/文件权限的理解是不完整的。有人可以帮忙吗?