[devel-distro] Группы для пользователей по умолчанию

Evgeny Sinelnikov sin at altlinux.org
Mon Jun 22 14:30:14 MSK 2020 

Здравствуйте,

пропустил сразу ответ в эту тему. Хочу прокомментировать текущий
вариант реализации и тот который уже разработан под эту задачу.

пн, 22 июн. 2020 г. в 12:43, Антон Мидюков <midyukov-anton �� ya.ru>:
>
> 22.06.2020 15:35, Anton V. Boyarshinov пишет:
> > В Mon, 22 Jun 2020 11:48:22 +0700
> > Антон Мидюков <midyukov-anton �� ya.ru> пишет:
> >
> >> А не подскажите, кто /usr/share/install3/default-groups обрабатывает?
> >>
> >> Эти группы, в какой-то конфиг потом попадают?
> >>
> >> Или только на момент установки добавляются дефолтные группы?
> > alterator-users обрабатывает их как в момент установки, так и потом
> > (если файл есть)
> Понял. Спасибо!

На текущий момент дополнительные группы добавляются пользователю
только через alterator. То есть при выполнении команды useradd,
автоматически это не происходит. Alterator же включает пользователя в
дополнительные группы из уже предзаданного списка только в момент
создания пользователя.

При этом, если соответствующий пакет с новой группой будет установлен
уже после создания пользователя, новая группа пользователю, очевидно,
назначена не будет.

Похожая же проблема возникает и для сетевых пользователей, которым
тоже нужно как-то задавать локальные группы. Для этой задачи у нас уже
давно и успешно используется так называемый модуль ролей (в
alterator-auth этот механизм уже интегрирован):
https://github.com/etersoft/libnss-role

По сути, этот механизм позволяет добавлять группы в группы. При этом
группы, условно, делятся на роли и привилегии. Если группе-роли
назначить набор групп-привилегий, то пользователь, которому назначена
роль, получит все привилегии заданные для данной роли. Анонсировали мы
его довольно давно, с тех пор этот проект успешно развивается:
https://www.linux.org.ru/news/linux-general/3253303

____________________________

Пример настройки этого механизма при добавлении групп для сетевых
пользователей у нас сейчас выглядит следующим образом:

# id administrator
uid=1558600500(administrator) gid=1558600513(domain users)
groups=1558600513(domain users),1558600512(domain
admins),1558600572(denied rodc password replication
group),1558600518(schema admins),1558600519(enterprise
admins),1558600520(group policy creator
owners),100(users),80(cdwriter),22(cdrom),81(audio),470(video),19(proc),83(radio),465(camera),71(floppy),498(xgrp),499(scanner),14(uucp),481(vboxusers),467(fuse),456(localadmins),10(wheel)

# rolelst
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse
localadmins:wheel
domain users:users
domain admins:localadmins

Имя группы localadmins было придумано, чтобы не пересекаться группой
admins из FreeIPA.

Настройки выглядят следующим образом:

# grep ^group /etc/nsswitch.conf
group: files [SUCCESS=merge] sss role

# cat /etc/role
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse
localadmins:wheel
Domain Users:users
Domain Admins:localadmins

Для использования данного механизма достаточно установить пакет libnss-role.

____________________________

В плане задачи "добавлять всех вновь создаваемых пользователей в
группу vboxusers" у нас, как раз, появилась новая возможность -
недавно мы добавили в модуль ролей поддержку каталога /etc/role.d, в
котором пакеты или скрипты могут предоставлять базовым ролям
дополнительные привилегии.

Предлагаю рассмотреть этот механизм в качестве основного.

Что мы при этом получаем? Мы получаем возможность:
- добавляя и удаляя пользователей из группы users, localdamins и,
например, power, задавать набор привилегий в виде дополнительных
групп;
- управлять отдельно группами, как наборами привилегий;
- гибко, при установке пакетов, расширять список привилегий
назначаемых пользователям с повышенными привилегиями через
соответствующие роли.

Как это должно работать? Цепочка действий и настроек выглядит следующим образом:
- базовый список ролей и привилегий задаётся при установке системы;
- в alterator-users вносится возможность задавать пользователю роли
(users, localadmins, power);
- приложения, при установке, добавляют в каталог /etc/role.d
дополнительные привилегии;
- для более гибкого задания ролей (это не обязательно) с приложениями
могут прилетать соответствующие control'ы, позволяющие управлять
ролями, которым назначены привилегии от этих приложений (редактировать
в /etc/role.d/ИМЯ_ПРИЛОЖЕНИЯ, задавая роль, которой назначена
приехавшая с приложением, новая группа-привилегия, вроде vboxusers).




-- 
Sin (Sinelnikov Evgeny)

More information about the devel-distro mailing list