[devel-distro] Группы для пользователей по умолчанию

[devel-distro] Группы для пользователей по умолчанию

[Антон Мидюков]

Доброго времени суток

Как можно поменять дефолтные группы для создаваемых пользователей?
Например, добавлять всех вновь создаваемых пользователей в группу vboxusers.

-- 
С уважением, Антон Мидюков <antohami@altlinux.org>

Re: [devel-distro] Группы для пользователей по умолчанию

[Anton V. Boyarshinov]

В Sun, 21 Jun 2020 13:28:48 +0700
Антон Мидюков <midyukov-anton@ya.ru> пишет:

> Как можно поменять дефолтные группы для создаваемых пользователей?
> Например, добавлять всех вновь создаваемых пользователей в группу vboxusers.

Если через alterator, то, вроде бы:

/usr/share/install3/default-groups

Re: [devel-distro] Группы для пользователей по умолчанию

[Michael Shigorin]

On Sun, Jun 21, 2020 at 01:18:11PM +0300, Anton V. Boyarshinov wrote:
> > Как можно поменять дефолтные группы для создаваемых пользователей?
> > Например, добавлять всех вновь создаваемых пользователей в группу vboxusers.
> Если через alterator, то, вроде бы:
> /usr/share/install3/default-groups

Угу; см., например,
m-p::features.in/net-usershares/rootfs/image-scripts.d/85-samba-usershares.sh

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel-distro] Группы для пользователей по умолчанию

[Антон Мидюков]

22.06.2020 04:31, Michael Shigorin пишет:
> On Sun, Jun 21, 2020 at 01:18:11PM +0300, Anton V. Boyarshinov wrote:
>>> Как можно поменять дефолтные группы для создаваемых пользователей?
>>> Например, добавлять всех вновь создаваемых пользователей в группу vboxusers.
>> Если через alterator, то, вроде бы:
>> /usr/share/install3/default-groups
> Угу; см., например,
> m-p::features.in/net-usershares/rootfs/image-scripts.d/85-samba-usershares.sh
>
Спасибо всем! Я вчера эту фичу уже увидел, но не проверял.

А не подскажите, кто /usr/share/install3/default-groups обрабатывает?

Эти группы, в какой-то конфиг потом попадают?

Или только на момент установки добавляются дефолтные группы?

-- 
С уважением, Антон Мидюков <antohami@altlinux.org>

Re: [devel-distro] Группы для пользователей по умолчанию

[Anton V. Boyarshinov]

В Mon, 22 Jun 2020 11:48:22 +0700
Антон Мидюков <midyukov-anton@ya.ru> пишет:

> А не подскажите, кто /usr/share/install3/default-groups обрабатывает?
> 
> Эти группы, в какой-то конфиг потом попадают?
> 
> Или только на момент установки добавляются дефолтные группы?

alterator-users обрабатывает их как в момент установки, так и потом
(если файл есть)

Re: [devel-distro] Группы для пользователей по умолчанию

[Антон Мидюков]

22.06.2020 15:35, Anton V. Boyarshinov пишет:
> В Mon, 22 Jun 2020 11:48:22 +0700
> Антон Мидюков <midyukov-anton@ya.ru> пишет:
>
>> А не подскажите, кто /usr/share/install3/default-groups обрабатывает?
>>
>> Эти группы, в какой-то конфиг потом попадают?
>>
>> Или только на момент установки добавляются дефолтные группы?
> alterator-users обрабатывает их как в момент установки, так и потом
> (если файл есть)
Понял. Спасибо!

-- 
С уважением, Антон Мидюков <antohami@altlinux.org>

Re: [devel-distro] Группы для пользователей по умолчанию

[Evgeny Sinelnikov]

Здравствуйте,

пропустил сразу ответ в эту тему. Хочу прокомментировать текущий
вариант реализации и тот который уже разработан под эту задачу.

пн, 22 июн. 2020 г. в 12:43, Антон Мидюков <midyukov-anton@ya.ru>:
>
> 22.06.2020 15:35, Anton V. Boyarshinov пишет:
> > В Mon, 22 Jun 2020 11:48:22 +0700
> > Антон Мидюков <midyukov-anton@ya.ru> пишет:
> >
> >> А не подскажите, кто /usr/share/install3/default-groups обрабатывает?
> >>
> >> Эти группы, в какой-то конфиг потом попадают?
> >>
> >> Или только на момент установки добавляются дефолтные группы?
> > alterator-users обрабатывает их как в момент установки, так и потом
> > (если файл есть)
> Понял. Спасибо!

На текущий момент дополнительные группы добавляются пользователю
только через alterator. То есть при выполнении команды useradd,
автоматически это не происходит. Alterator же включает пользователя в
дополнительные группы из уже предзаданного списка только в момент
создания пользователя.

При этом, если соответствующий пакет с новой группой будет установлен
уже после создания пользователя, новая группа пользователю, очевидно,
назначена не будет.

Похожая же проблема возникает и для сетевых пользователей, которым
тоже нужно как-то задавать локальные группы. Для этой задачи у нас уже
давно и успешно используется так называемый модуль ролей (в
alterator-auth этот механизм уже интегрирован):
https://github.com/etersoft/libnss-role

По сути, этот механизм позволяет добавлять группы в группы. При этом
группы, условно, делятся на роли и привилегии. Если группе-роли
назначить набор групп-привилегий, то пользователь, которому назначена
роль, получит все привилегии заданные для данной роли. Анонсировали мы
его довольно давно, с тех пор этот проект успешно развивается:
https://www.linux.org.ru/news/linux-general/3253303

____________________________

Пример настройки этого механизма при добавлении групп для сетевых
пользователей у нас сейчас выглядит следующим образом:

# id administrator
uid=1558600500(administrator) gid=1558600513(domain users)
groups=1558600513(domain users),1558600512(domain
admins),1558600572(denied rodc password replication
group),1558600518(schema admins),1558600519(enterprise
admins),1558600520(group policy creator
owners),100(users),80(cdwriter),22(cdrom),81(audio),470(video),19(proc),83(radio),465(camera),71(floppy),498(xgrp),499(scanner),14(uucp),481(vboxusers),467(fuse),456(localadmins),10(wheel)

# rolelst
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse
localadmins:wheel
domain users:users
domain admins:localadmins

Имя группы localadmins было придумано, чтобы не пересекаться группой
admins из FreeIPA.

Настройки выглядят следующим образом:

# grep ^group /etc/nsswitch.conf
group: files [SUCCESS=merge] sss role

# cat /etc/role
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse
localadmins:wheel
Domain Users:users
Domain Admins:localadmins

Для использования данного механизма достаточно установить пакет libnss-role.

____________________________

В плане задачи "добавлять всех вновь создаваемых пользователей в
группу vboxusers" у нас, как раз, появилась новая возможность -
недавно мы добавили в модуль ролей поддержку каталога /etc/role.d, в
котором пакеты или скрипты могут предоставлять базовым ролям
дополнительные привилегии.

Предлагаю рассмотреть этот механизм в качестве основного.

Что мы при этом получаем? Мы получаем возможность:
- добавляя и удаляя пользователей из группы users, localdamins и,
например, power, задавать набор привилегий в виде дополнительных
групп;
- управлять отдельно группами, как наборами привилегий;
- гибко, при установке пакетов, расширять список привилегий
назначаемых пользователям с повышенными привилегиями через
соответствующие роли.

Как это должно работать? Цепочка действий и настроек выглядит следующим образом:
- базовый список ролей и привилегий задаётся при установке системы;
- в alterator-users вносится возможность задавать пользователю роли
(users, localadmins, power);
- приложения, при установке, добавляют в каталог /etc/role.d
дополнительные привилегии;
- для более гибкого задания ролей (это не обязательно) с приложениями
могут прилетать соответствующие control'ы, позволяющие управлять
ролями, которым назначены привилегии от этих приложений (редактировать
в /etc/role.d/ИМЯ_ПРИЛОЖЕНИЯ, задавая роль, которой назначена
приехавшая с приложением, новая группа-привилегия, вроде vboxusers).




-- 
Sin (Sinelnikov Evgeny)