Forum Linux.débutant un groupe dans un groupe

Posté par  . Licence CC By‑SA.
Étiquettes :
1
1
juin
2021

Bonjour,

Je cherche un moyen de mettre un groupe dans un groupe

j'explique le contexte, je viens de rajouter un serveur linux sur mon domaine, les users et groupes de l'ad remontent bien dans passwd et group, maintenant, j'essaie de mettre mon groupe "admins du domaine" dans le groupe "root"

J'ai essayer avec usermod mais il me dit que ce n'est pas un utilisateur, j'ai improvisé un groupmod mais ça ne marche pas, j'ai aussi essayé par l'interface webmin mais non seulement ça marche pas mais en plus, je vois pas mes groupes de l'AD dessus.

je n'arrive pas à trouver d'infos sur comment ajouter un groupe dans un groupe.

Quelqu'un aurait une idée ou un tour de magie à me proposer?

Merci d'avance

  • # Utiliser sudo

    Posté par  . Évalué à 2.

    Bonjour,

    Les groupes sont une liste d'utilisateurs, il n'est pas possible de mettre des groupes dans des groupes.

    J'imagine que tu veux que tes administrateurs du domaine puissent lancer des commandes utilisées par root … pour administrer les serveurs.

    Dans ce cas la bonne pratique est plutôt d'utiliser sudo. Et il est possible de configurer sudo de manière à ce que les membres d'un groupe puisse lancer des commandes en tant que root.

    Par exemple :
    %admin ALL=(ALL) ALL
    %admin2 ALL=(ALL) ALL

    dans le fichier de configuration de sudo donnerait les privilèges aux membres du groupe admin et ceux du groupe admin2 la permission de lancer n'importe qu'elle commande en tant que root.

    • [^] # Re: Utiliser sudo

      Posté par  . Évalué à 2.

      bon il y a une coquille dans l'exemple, et je ne peux plus éditer ma réponse. Mais l'idée est là.

    • [^] # Re: Utiliser sudo

      Posté par  . Évalué à 2. Dernière modification le 02 juin 2021 à 08:38.

      +1 pour le sudo

      ainsi tu cibles le groupe AD que tu veux (admin du domaine par exemple)
      et tu indiques à sudo que ce groupe à le droit de faire sudo sur toutes les commandes
      et hop, tu n'as plus qu'à gérer ton groupe de groupe dans l'AD

      note que ca te permet aussi de mettre un groupe "admin linux"
      qui serait un sous groupe de "admin du domaine"
      pour éviter qu'un admin windows qui ni connait rien en linux puisse aller faire des tests sur tes linux de prod

      • [^] # Re: Utiliser sudo

        Posté par  . Évalué à 1.

        Merci pour vos réponses, je vais voir comment gérer ça avec le sudo,
        Mon collègue (pas linux) me demande si avec son compte, il pourra encore faire des modifs de fichiers et le droits de ceux sans être en root via le winscp.

        Pouvez-vous me confirmer si ça marche?

        • [^] # Re: Utiliser sudo

          Posté par  . Évalué à 2. Dernière modification le 04 juin 2021 à 11:48.

          si les fichiers n'appartiennent pas à root, oui probablement
          ex : un site web peut etre mis à jour par l'utilisateur sans aucun acces root

  • # ad…

    Posté par  (site web personnel, Mastodon) . Évalué à 0.

    Les bases de données fichiers traditionnelles sont KISS (et au passage ça te met à l'abri de sac de nœuds qui ne vont pas tarder à arriver) Ce que tu veux faire, devrait être fait au niveau de ton AD point-barre. À ce dernier de communiquer la liste des utilisateurs finaux à tes machines Linux qui n'en ont rien à faire de la tambouille de groupes imbriqués dans tous les sens.

    “It is seldom that liberty of any kind is lost all at once.” ― David Hume

    • [^] # Re: ad…

      Posté par  . Évalué à 1.

      Il y a quand même pas mal de cas où pouvoir faire des listes (ACL) avec des inclusions et des exclusions est utile. POSIX a le mérite d'être simple, mais dans les environnements complexes, c'est parfois limitant.

      • [^] # Re: ad…

        Posté par  . Évalué à 3. Dernière modification le 02 juin 2021 à 10:31.

        c'est là que mélanger les techno rend la chose compliqué,

        il a un AD, qu'il l'utilise pour faire ses groupes de groupes
        comme dit plus haut :

        • admin du domaine
          • admin windows
          • admin linux
          • admin SGBD
          • admin web

        et qu'il utilise les fonctionnalités de
        * PAM pour n'autoriser le login SSH qu'aux admin du domaine
        * sudo pour dire que seuls les "admin linux" peuvent executer des commandes 'root' (via sudo qui est fait pour ca

        • [^] # Re: ad…

          Posté par  (site web personnel, Mastodon) . Évalué à 1.

          Voilà, c'est ce que je dis. qu'il gère ça dans l'AD et récupère le résultat final dans PAM. Oui, POSIX et limité si on veut, mais faut pas pour autant pousser mémé dans les orties.

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.