Проблема, на решение которой ушло 8 лет

root.jpg

Многие кто настраивал связку CLD/CDS наверняка пытались добавить в LDAP группу wheel, чтобы получать права root на десктопе. Но, из-за особенностей обработки группы wheel, эта схема не работает. Тем не менее, получить привилегированный доступ к системе можно, либо зайдя на localhost через ssh, либо добавив себя в группу wheel на десктопе. Поэтому, из-за низкого приоритета проблема постоянно откладывалась.

И вот после очередного обсуждения на форуме мы вновь вернулись к этому вопросу. Решение оказалось очевидным. Почему мы так привязались к wheel? Может это неправильный подход, пусть wheel остаётся для локальных пользователей, доменным же мы создадим свою группу с уникальным именем. Это имя не прописано на десктопе и оно не будет конфликтовать с LDAP-ом. А заодно и sudo вспомним. Пусть эти группы так и будут называться - su и sudo, благо таких групп нет и запомнить названия будет очень просто и никаких заглавных букв в стиле Windows.

Проблема, которая была изначально озвучена - давать доступ администраторам. Мы сталкивались с такой же проблемой. Так почему бы не пойти дальше и не создать ещё несколько групп с именем машины (su-pc100, sudo-pc100) и с именем домена (su-calculate.ru, sudo-calculate.ru). В этом случае можно централизованно раздавать привилегированный доступ пользователю к его компьютеру, либо к компьютерам локальной сети. В случае с несколькими сетями выделить одну сеть будет очень актуально.

Поддержка новых групп будет настраиваться только для доменных машин. Сейчас настройки тестируются с утилитами Calculate 3.5.

я и знать не знал что такой “движняк” создал на ровном месте …

на самом деле su не нужен вообще при наличии sudo . Лично мне sudo даже удобнее

Супер!