我们有一个(老的和增长的)Linux机器的基础设施(主要是debian)。 对于用户身份validation,我们使用LDAP来定义具有不同访问权限的多个组。 不幸的是,其中一个团队被称为debian中的标准团体名称。 结果是,无论何时更新与组有关的软件包(例如passwd ),它都会在计算机上创build一个使LDAP组员工组黯然失色的本地组员。 结果是login不再起作用等等。
由于基础设施不是新的,所以改变组名是非常费力的,因为它出现在不同机器上的各种configuration文件中。
问题是:如何禁用本地组文件(永远)? 或者还有其他解决方法吗?
目前,我们必须在每次更新创build之后手动从/etc/groups删除本地员工组。
什么尝试没有成功:
nsswitch.conf的顺序从group: files ldap更改为group: ldap files – >效果:系统在引导时挂起。 如何禁用本地组文件(永远)?
这不是一个好主意(tm)。 试图做到这一点将是非常 “有影响力”
或者还有其他解决方法吗? 您提到以下内容,这听起来像是在服务器修补和重新启动时发生这种情况。 “…每当一个包更新与团体有关…”
一个“影响最小”的解决scheme是创build一个自定义的初始化脚本,在系统更改运行级别时,从/etc/group删除staff组(具体取决于您用于修补服务器的过程中的内容)
有关详细信息,请参阅其init脚本上的Debian文档。