Debianスタッフグループが問題を引き起こす
Linuxマシン(主にDebian)の(古くて成長した)インフラストラクチャがあります。ユーザー認証には、異なるアクセス権を持つ複数のグループを定義したLDAPを使用します。残念ながら、これらのグループの1つはstaffと呼ばれ、Debianの標準グループ名になっています。その結果、グループと関係のあるパッケージが更新されるたびに(たとえば、passwd)、LDAPスタッフグループを凌駕するローカルグループスタッフがマシン上に作成されます。その結果、ログインが機能しなくなります。
インフラストラクチャは新しいものではないため、グループ名を変更するのは非常に面倒です。グループ名は、さまざまなマシンのさまざまな構成ファイルに表示されるためです。
問題は、ローカルグループファイルを(永久に)無効にする方法です。または、他の回避策はありますか?
現在、ローカルスタッフグループを作成する更新のたびに、/etc/groupsから手動でローカルスタッフグループを削除する必要があります。
成功せずに試みられたもの:
nsswitch.confの順序をgroup: files ldapからgroup: ldap filesに変更->効果:システムが起動時にハングします。
ローカルグループファイルを(永久に)無効にする方法は?
これは良いアイデア(tm)ではありません。これを実行しようとすると、非常に「影響力があります」
または他の回避策はありますか?次のように述べていますが、これはサーバーが常に発生するように聞こえますパッチが適用され、再起動されます。 "...グループと関係のあるパッケージが更新されるたびに..."
「最も影響の少ない」解決策の1つは、システムが実行レベルを変更したときにstaffグループを/etc/groupから削除するカスタムinitスクリプトを作成することです(正確には、使用するプロシージャの内容によって異なります)。サーバーにパッチを適用する)
詳細については、Debianのドキュメント init-scripts を参照してください。