ローカルユーザー名がネットワークユーザー名と競合する場合の対処方法
Puppetを使用してLinuxデスクトップマシンを管理し、SSSDを使用して中央認証システムに対してユーザーを認証します。最近、いくつかの新しいマシンをセットアップしたときに、ソフトウェアパッケージのインストール中にpuppetが停止していることがわかりました。犯人はkdmパッケージで、最近「kdm」ユーザー名が中央機関に追加されたときにローカルの「kdm」ユーザーを追加しようとしました。
通常、この問題は名前空間分割メカニズム(Windowsドメインなど)で処理されますが、Linux管理での短い時間は、これを行うための良い方法を見つけるのに実際には役立ちません。
私はこれを修正する方法のいくつかの一般的なアイデアをおそらく理解することができます(最もエレガントなものから最もエレガントでないものまで):
- このような将来の競合が問題にならないように、システムユーザー名を中央ユーザー名から分割する良い方法を見つけてください。
- Dpkgにフラグを使用して、kdmパッケージに別のユーザー名を追加するように強制します(またはnobodyを使用します)。
- Dpkgにユーザーを追加するように強制します。これにより、ユーザーはシステムにログインできなくなりますが、とにかく問題にならない可能性は十分にあります。
もちろん、(2)と(3)は根本的な問題を解決しませんが、(1)の解決策が現在の設定に特に損傷を与える場合は、(2)または(3)のようなものがより望ましい場合があります。
より良いユーザー命名スキームを考え出す...(または「kdm」に異なるログイン資格情報を使用させる)
3文字のユーザー名を持つ商用Unixシステムを継承したので、私は何年にもわたってこのレッスンを学ばなければなりませんでした。これらのサーバーをLinuxに移動すると、システムサービスアカウントとの競合が発生します。最悪のケースはRandy P. McDonald、またはuserID "rpmでした」。 RPMパッケージマネージャー Redhatベースのシステムでは、「rpm」アカウントを使用します。
他の衝突は時間とともに発生しました。ユーザー名「adm」、「lp」、「ftp」は当時問題でした。
私の恒久的な修正は、ユーザーの命名スキームをより堅牢になるように修正することでした。 3つのイニシャルはそれほどスケーラブルではありません。
これはあなたの環境を知ることの一部です。デスクトップLinux(おそらく、GnomeではなくKDMをウィンドウマネージャーとして使用)を使用しており、アクセス許可とシステム操作の観点から、「kdm」ユーザーがその鍵となります。
個々のパッケージまたはdpkgに変更を加える場合は、システムをアップグレードしたり、新しいOSバージョンに移行したりするときに、その手順を覚えておく必要があります。ユーザーを追加すると、おそらくファンキーな権限が発生します。