लिनक्स में उपयोगकर्ताओं के प्राथमिक समूह को ओवरराइड कैसे करें?

मेरे पास AD उपयोगकर्ताओं का प्रमाणीकरण करने के लिए Microsoft AD के साथ एकीकृत SSSD का उपयोग करके कुछ लिनक्स सर्वर हैं, और मैं उन सर्वरों पर उपयोगकर्ताओं के प्राथमिक समूह को ओवरराइड करने का प्रयास कर रहा हूं।

ई। के अनुसार, सभी उपयोगकर्ताओं के लिए डिफ़ॉल्ट प्राथमिक समूह gid = 100001 (पॉज़िक्ससर्स) है और मैं चाहूंगा कि उपयोगकर्ताओं को एक अलग gid को सौंपा जाए। प्रत्येक उपयोगकर्ता का एक अलग प्राथमिक समूह होगा, जिसमें उनका यूआईडी होगा।

इसलिए, यदि उपयोगकर्ता के जॉन की यूआईडी 1028 है और AD के अनुसार उसकी GID 100001 है, तो मैं GID को ओवरराइड करना चाहता हूं, इसलिए यह gid = 1028 होगा

मेरा मानना ​​है कि यह sss_override का उपयोग करके किया जा सकता है, लेकिन कुछ नुकसान हैं क्योंकि मुझे प्रत्येक लिनक्स सर्वर पर एक ही कमांड दोहराना होगा या ओवरराइड सूचियों को निर्यात / आयात करना और sssd को पुनरारंभ करना होगा।

इसके अलावा, मुझे नहीं पता कि मैं कैसे स्वचालित कर सकता हूं जब उपयोगकर्ता पहली बार लॉगिन करता है।

आप वह कैसे करेंगें? क्या sss_override के अलावा कोई और तरीका है? यदि नहीं, तो आप इसे स्वचालित करने के लिए क्या करेंगे?

नोट: मैं AD पर कुछ भी नहीं छू सकता, क्योंकि यह एक अलग विभाग द्वारा प्रबंधित है, इसलिए केवल एक चीज जो मैं कर सकता हूं वह है AD / LDAP सेवा।

अग्रिम में धन्यवाद।

यदि आप AD समूहों के आधार पर पहुंच का प्रावधान कर रहे हैं, तो समूह में सभी उपयोगकर्ताओं के प्राथमिक GID को जल्दी से बदलना संभव है, जैसे कि नीचे कुछ:

getent group AD-group-name | awk -F':' '{print $4}' | sed 's/\,/\n/g' \
| xargs -i sss_override user-add {} -g $(getent group AD-group-name) \
| awk -F':' '{print $3}')

जहाँ AD- समूह-नाम AD / LDAP समूह का नाम है। यदि आप SSSD के साथ AD का उपयोग कर रहे हैं, तो उपयोगकर्ता को लॉग इन करने से पहले यह काम करना चाहिए। जैसा आपने कहा, sss_override के साथ कुछ कैविएट हैं, और यदि आप अधिक उपयोगकर्ताओं को प्रावधान कर रहे हैं, तो इसे फिर से चलाने की आवश्यकता होगी। यह थोड़ा हैकी है, लेकिन आप इसे रात को क्रोन जॉब या कुछ इसी तरह चला सकते हैं।

आप इसे कई सिस्टमों पर भी चला सकते हैं, जैसे कि ansible का उपयोग करके। यह मेरी सूची पर है कि हम एक नया गेम बनाने के लिए एक अनचाहे प्लेबुक का निर्माण करें, जो कुछ इस तरह से हो।

मेरे पास गैब के जवाब के लिए सीधे जवाब देने के लिए पर्याप्त प्रतिष्ठा नहीं है, इसे पढ़ने के अलावा बहुत अच्छा काम करता है:

getent group AD-group-name | awk -F':' '{print $4}' | sed 's/\,/\n/g' \  
| xargs -i sss_override user-add {} -g $(getent group AD-group-name \  
| awk -F':' '{print $3}')

एनएफएस 16 समूह की सीमा के लिए वर्कअराउंड के रूप में हमारे लिए बहुत अच्छा काम किया।