Hallo zusammen,
ich verwende pam_winbind, um ActiveDirectory-Benutzer an Debian-Systemen anzumelden, diese Anleitung funktioniert schon seit langem sehr gut: https://wiki.debian.org/AuthenticatingL ... eDirectory
Ich möchte gerne, dass die Benutzer Mitglieder der (lokalen) Gruppe "dialout" sind. Das kann man z.B. mit folgendem Befehl erreichen:
usermod -a -G dialout $localuser
Gibt es eine einfache Möglichkeit, das automatisiert (über PAM oder ein Config-File) zu erledigen?
Vielen Dank,
Ch. Meyer
winbind: lokale Gruppen für AD-Benutzer?
Re: winbind: lokale Gruppen für AD-Benutzer?
Es gibt eine Möglichkeit, dies automatisiert zu erledigen, indem du die Konfigurationsdatei von PAM (Pluggable Authentication Modules) anpasst.
Du kannst die Datei /etc/pam.d/common-session bearbeiten, um die Benutzer automatisch der Gruppe "dialout" hinzuzufügen.
Z. B. so (Vorsicht frei aus dem Kopf zusammengeschrieben):
Öffne die Datei /etc/pam.d/common-session in einem Texteditor mit Root-Rechten.
Füge die folgende Zeile am Ende der Datei hinzu:
session required pam_exec.so /bin/bash -c "if id -nG $PAM_USER | grep -qw dialout; then exit 0; else usermod -a -G dialout $PAM_USER; fi"
Diese Zeile führt den Befehl usermod -a -G dialout $PAM_USER aus, um den Benutzer zur Gruppe "dialout" hinzuzufügen, wenn er noch nicht Mitglied dieser Gruppe ist.
Speichere die Datei und schließe den Texteditor.
Nachdem du diese Änderungen vorgenommen hast, werden Benutzer automatisch der Gruppe "dialout" hinzugefügt, wenn du dich über PAM anmeldest.
Aber Vorsicht: Beim Bearbeiten von PAM-Konfigurationsdateien können falsche Änderungen zu Problemen bei der Anmeldung führen. Und vielleicht besser Sicherungskopie der Datei erstellen.
Du kannst die Datei /etc/pam.d/common-session bearbeiten, um die Benutzer automatisch der Gruppe "dialout" hinzuzufügen.
Z. B. so (Vorsicht frei aus dem Kopf zusammengeschrieben):
Öffne die Datei /etc/pam.d/common-session in einem Texteditor mit Root-Rechten.
Füge die folgende Zeile am Ende der Datei hinzu:
session required pam_exec.so /bin/bash -c "if id -nG $PAM_USER | grep -qw dialout; then exit 0; else usermod -a -G dialout $PAM_USER; fi"
Diese Zeile führt den Befehl usermod -a -G dialout $PAM_USER aus, um den Benutzer zur Gruppe "dialout" hinzuzufügen, wenn er noch nicht Mitglied dieser Gruppe ist.
Speichere die Datei und schließe den Texteditor.
Nachdem du diese Änderungen vorgenommen hast, werden Benutzer automatisch der Gruppe "dialout" hinzugefügt, wenn du dich über PAM anmeldest.
Aber Vorsicht: Beim Bearbeiten von PAM-Konfigurationsdateien können falsche Änderungen zu Problemen bei der Anmeldung führen. Und vielleicht besser Sicherungskopie der Datei erstellen.
Re: winbind: lokale Gruppen für AD-Benutzer?
Moin,
da stellt sich mir die Frage: Warum?
Du kannst doch im AD eine Gruppe erstellen und die User dort rein packen. So hast du wenigstens die Kontrolle uber die User. Wenn die automatisch in die Gruppe kommen, dann verlierst du doch die Kontrolle(was man ja eigentlich errreichen will).
da stellt sich mir die Frage: Warum?
Du kannst doch im AD eine Gruppe erstellen und die User dort rein packen. So hast du wenigstens die Kontrolle uber die User. Wenn die automatisch in die Gruppe kommen, dann verlierst du doch die Kontrolle(was man ja eigentlich errreichen will).
Gruß Ole
AbuseIPDB
AbuseIPDB
Re: winbind: lokale Gruppen für AD-Benutzer?
Auch hier wohl KI-Text von debmatrix.