我们拥有一套(老旧且成熟的)Linux 机器基础架构(主要是 Debian)。对于用户身份验证,我们使用 LDAP,其中我们定义了几个具有不同访问权限的组。不幸的是,其中一个组的名称staff已成为 Debian 中的标准组名。结果是,每当更新与组有关的软件包(例如passwd)时,它都会在机器上创建一个本地组 staff,该组会取代 LDAP staff 组。结果是登录不再有效,等等。
由于基础设施并不是新的,更改组名会非常费力,因为它会出现在不同机器上的各种配置文件中。
问题是:如何永久禁用本地组文件?或者还有其他解决方法吗?
当前,我们必须在/etc/groups每次更新创建后手动删除本地员工组。
已尝试但未成功的操作:
nsswitch.conf将从 更改group: files ldap为--> 的顺序改变group: ldap files为:系统在启动时挂起。
答案1
如何禁用本地组文件(永久)?
这不是一个好主意。这样做的尝试将是非常“有影响力”
或者还有其他解决方法吗? 您提到了以下内容,这听起来就像是每次修补和重新启动服务器时都会发生这种情况。 “...每当更新与群组有关的包时...”
一个“影响最小”的解决方案是创建一个自定义的初始化脚本,以便在系统更改运行级别时删除该staff组/etc/group(具体哪些取决于您用于修补服务器的过程)
请参阅 Debian 文档在他们的启动脚本上了解详情。