winbind: lokale Gruppen für AD-Benutzer?

Vom einfachen Programm zum fertigen Debian-Paket, Fragen rund um Programmiersprachen, Scripting und Lizenzierung.
Antworten
chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

winbind: lokale Gruppen für AD-Benutzer?

Beitrag von chmeyer » 24.10.2021 15:33:18

Hallo zusammen,

ich verwende pam_winbind, um ActiveDirectory-Benutzer an Debian-Systemen anzumelden, diese Anleitung funktioniert schon seit langem sehr gut: https://wiki.debian.org/AuthenticatingL ... eDirectory

Ich möchte gerne, dass die Benutzer Mitglieder der (lokalen) Gruppe "dialout" sind. Das kann man z.B. mit folgendem Befehl erreichen:
usermod -a -G dialout $localuser

Gibt es eine einfache Möglichkeit, das automatisiert (über PAM oder ein Config-File) zu erledigen?

Vielen Dank,
Ch. Meyer

debmatrix
Beiträge: 62
Registriert: 12.06.2023 07:48:06

Re: winbind: lokale Gruppen für AD-Benutzer?

Beitrag von debmatrix » 21.12.2023 21:17:04

Es gibt eine Möglichkeit, dies automatisiert zu erledigen, indem du die Konfigurationsdatei von PAM (Pluggable Authentication Modules) anpasst.
Du kannst die Datei /etc/pam.d/common-session bearbeiten, um die Benutzer automatisch der Gruppe "dialout" hinzuzufügen.

Z. B. so (Vorsicht frei aus dem Kopf zusammengeschrieben):

Öffne die Datei /etc/pam.d/common-session in einem Texteditor mit Root-Rechten.

Füge die folgende Zeile am Ende der Datei hinzu:

session required pam_exec.so /bin/bash -c "if id -nG $PAM_USER | grep -qw dialout; then exit 0; else usermod -a -G dialout $PAM_USER; fi"

Diese Zeile führt den Befehl usermod -a -G dialout $PAM_USER aus, um den Benutzer zur Gruppe "dialout" hinzuzufügen, wenn er noch nicht Mitglied dieser Gruppe ist.

Speichere die Datei und schließe den Texteditor.


Nachdem du diese Änderungen vorgenommen hast, werden Benutzer automatisch der Gruppe "dialout" hinzugefügt, wenn du dich über PAM anmeldest.

Aber Vorsicht: Beim Bearbeiten von PAM-Konfigurationsdateien können falsche Änderungen zu Problemen bei der Anmeldung führen. Und vielleicht besser Sicherungskopie der Datei erstellen.

Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Re: winbind: lokale Gruppen für AD-Benutzer?

Beitrag von oln » 22.12.2023 07:41:50

Moin,
da stellt sich mir die Frage: Warum?
Du kannst doch im AD eine Gruppe erstellen und die User dort rein packen. So hast du wenigstens die Kontrolle uber die User. Wenn die automatisch in die Gruppe kommen, dann verlierst du doch die Kontrolle(was man ja eigentlich errreichen will).
Gruß Ole
AbuseIPDB

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: winbind: lokale Gruppen für AD-Benutzer?

Beitrag von uname » 22.12.2023 09:21:31

Auch hier wohl KI-Text von debmatrix.

Antworten