複数の仮想化サーバーがあり、すべてパスワード/シャドウ(in nsswitch.conf
)と認証(PAM)にLDAPを使用するように構成されています。
私はすべてのサーバーからログを読み取ることができる一連のユーザーを簡単に構成したいと思います。これは、ディストリビューション固有のサプリメントグループ(systemd-journal
システムベースのディストリビューション、adm
Debianなど)のメンバーである必要があることを意味します。
私が持っている一つのアイデアは、例えばLDAPにネットグループを作成することでした。log-reading-users
これはユーザーセットを表します。nsswitch.conf
LDAPからネットグループをインポートするように設定しました。
次に、次のようにグループに追加します/etc/group
。
adm:x:4:+@log-reading-users
しかし、それはうまくいきませんでした。
その後、次を使用しようとします/etc/security/group.conf
。
# group.conf
*;*;@log-reading-users;Al0000-24000;adm
最後に追加します/etc/pam.d/common-auth
。
auth optional pam_group.so
パスワードの有無にかかわらずssh
動作しますが、パスワードなしでrootで使用したり、cronがユーザーのcrontabエントリを実行したりすると、セカンダリグループIDは追加されません。login
su
sudo
su
もっと良い方法がありますか?たぶんinitgroups
中に何かがあるかもしれないかnsswitch.conf
?