Linux добавить доменного пользователя в группу

Linux добавление группы в группу

Операционная система Linux изначально планировалась как многопользовательская система. Для управления правами доступа для каждого из пользователей используется три флага: чтение, запись и выполнение. Но этого было недостаточно, поэтому были придуманы группы пользователей Linux. С помощью групп можно дать нескольким пользователям доступ к одному ресурсу.

Файлу присваивается группа, для нее описываются права, затем в эту группу вступают пользователи, чтобы получить доступ к файлу. Читайте подробнее про все это в статье группы Linux. А в этой статье мы рассмотрим как добавить пользователя в группу linux.

Как добавить пользователя в группу Linux

• Первичная группа — создается автоматически, когда пользователь регистрируется в системе, в большинстве случаев имеет такое же имя, как и имя пользователя. Пользователь может иметь только одну основную группу;
• Вторичные группы — это дополнительные группы, к которым пользователь может быть добавлен в процессе работы, максимальное количество таких групп для пользователя — 32;

Как обычно, лучше всего будет добавлять пользователя в группу через терминал, поскольку это даст вам больше гибкости и возможностей. Для изменения параметров пользователя используется команда usermod. Рассмотрим ее опции и синтаксис:

$ usermod опции синтаксис

Здесь нас будут интересовать только несколько опций с помощью которых можно добавить пользователя в группу root linux. Вот они:

• -G — дополнительные группы для пользователя;
• -a — добавить пользователя в дополнительные группы из параметра -G, а не заменять им текущее значение;
• -g — установить новую основную группу для пользователя, такая группа уже должна существовать, и все файлы в домашнем каталоге теперь будут принадлежать именно этой группе.

У команды намного больше опций, но нам понадобятся только эти для решения нашей задачи. Теперь рассмотрим несколько примеров. Например, чтобы добавить пользователя в группу sudo linux используйте такую комбинацию:

sudo usermod -a -G wheel user

Если вы не будете использовать опцию -a, и укажите только -G, то утилита затрет все группы, которые были заданы ранее, что может вызвать серьезные проблемы. Например, вы хотите добавить пользователя в группу disk и стираете wheel, тогда вы больше не сможете пользоваться правами суперпользователя и вам придется сбрасывать пароль. Теперь смотрим информацию о пользователе:

Мы можем видеть, что была добавлена указанная нами дополнительная группа и все группы, которые были раньше остались. Если вы хотите указать несколько групп, это можно сделать разделив их запятой:

sudo usermod -a -G disks,vboxusers user

Основная группа пользователя соответствует его имени, но мы можем изменить ее на другую, например users:

sudo usermod -g users user

Теперь основная группа была изменена. Точно такие же опции вы можете использовать для добавления пользователя в группу sudo linux во время его создания с помощью команды useradd.

Добавление пользователя в группу через GUI

В графическом интерфейсе все немного сложнее. В KDE добавление пользователя в группу linux выполняется с помощью утилиты Kuser. Мы не будем ее рассматривать. В Gnome 3 возможность управления группами была удалена, но в разных системах существуют свои утилиты для решения такой задачи, например, это system-config-users в CentOS и Users & Groups в Ubuntu.

Для установки инструмента в CentOS выполните:

sudo yum install system-config-users

Дальше вы можете запустить утилиту через терминал или из главного меню системы. Главное окно утилиты выглядит вот так:

Выполните двойной клик по имени пользователя, затем перейдите на вкладку «группы». Здесь вы можете выбрать отметить галочками нужные дополнительные группы, а также изменить основную группу:

Для установки утилиты в Ubuntu запустите такую команду:

sudo apt install gnome-system-tools

Здесь интерфейс будет немного отличаться, утилита будет выглядеть так же, как и системная программа настройки пользователей только появится возможность управления группами Linux.

Выводы

В этой небольшой статье мы рассмотрели как добавить пользователя в группу linux. Это может быть очень полезно для предоставления пользователю дополнительных полномочий и разграничения привилегий между пользователями. Если у вас остались вопросы, спрашивайте в комментариях!

Как создать группу Linux

Группы — очень удобный инструмент распределения прав в Linux. Благодаря группам можно разрешить нескольким пользователям доступ к одному файлу или папке, а другим запретить, не прибегая к более сложным технологиям, таким, как ACL-списки. Системные сервисы тоже запускаются от имени определённых пользователей, и поэтому группы позволяют очень тонко настроить права доступа к нужным файлам для сервисов, не давая им полного доступа к системе.

В этой небольшой статье мы рассмотрим, как создать группу Linux разными способами, а также поговорим о дополнительных настройках группы.

Как создать группу Linux

Для создания групп в Linux используется команда groupadd, давайте рассмотрим её синтаксис и опции:

$ groupadd опции имя_группы

А теперь разберём опции утилиты:

• -f — если группа уже существует, то утилита возвращает положительный результат операции;
• -g — установить значение идентификатора группы GID вручную;
• -K — изменить параметры по умолчанию автоматической генерации GID;
• -o — разрешить добавление группы с неуникальным GID;
• -p — задаёт пароль для группы;
• -r — указывает, что группа системная;
• -R — позволяет изменить корневой каталог.

Перейдём к практике. Всё очень просто. Создадим группу group1:

Теперь вы можете убедится, что группа была добавлена в файл /etc/group:

cat /etc/group | grep group1

Система создала группу с GID 1001. Вы можете вручную указать GID вашей группы с помощью опции -g;

sudo groupadd -g 1006 group6

Также есть возможность задать пароль для группы. Он служит для того, чтобы пользователи, не состоящие в группе, смогли получить к ней доступ с помощью команды newgrp. Эта команда делает пользователя участником указанной группы до конца сеанса. Из соображений безопасности этот метод использовать не рекомендуется, поскольку один пароль будут знать несколько пользователей. Чтобы создать группу с паролем, сначала создаём пароль командой:

perl -e ‘print crypt(«12345», «xyz»),»\n»‘

Здесь xyz — это случайная комбинация символов для увеличения надёжности пароля, а 12345 — ваш пароль. Мы должны передать утилите именно зашифрованный пароль, если передать его в открытом виде, то ничего работать не будет. Теперь создаём группу с только что полученным паролем:

sudo groupadd -p sajEeYaHYyeSU group7

Затем можно попытаться получить временный доступ к ресурсам группы с помощью newgrp:

Нам надо ввести пароль, который мы раньше шифровали, и теперь до конца сеанса наш пользователь находится в группе. Если вы хотите добавить пользователя в группу навсегда, то надо использовать команду usermod:

sudo usermod -aG group7 имя_пользователя

Создание группы Linux вручную

Если вы не хотите создавать группу с помощью команды, это можно сделать, просто редактируя конфигурационные файлы. Все группы, которые существуют в системе, находятся в файле /etc/group. Если мы хотим добавить новую, достаточно добавить строчку с таким синтаксисом:

имя_группы : х : gid : список_пользователей

Разберём более подробно, какой параметр за что отвечает:

• имя_группы — имя, которое будет использоваться для операций с группой;
• x — заглушка пароля группы, пароль указывается в файле /etc/gshadow, если в этом есть необходимость;
• gid — идентификатор группы;
• список_пользователей — пользователи, разделённые запятыми, которые входят в группу.

Таким образом, чтобы создать группу group7, достаточно добавить строку:

Всё. Теперь нашу группу можно использовать, например, добавим в неё пользователя:

usermod -aG group7 имя_пользователя

Вы уже знаете, как создать группу пользователей linux двумя способами, теперь разберёмся, как её удалить.

Как удалить группу в Linux

Если вы создали группу неправильно или считаете, что она не нужна, то её можно удалить. Для этого используйте:

Только ни в коем случае не удаляйте системные группы, они нужны и используются системой, а их удаление может сломать работу некоторых программ.

Выводы

В этой небольшой статье мы рассмотрели создание группы в Linux, а также то, как удалить созданную группу. Как видите, это довольно просто. Ели у вас остались вопросы, спрашивайте в комментариях!

Источник

unixforum.org

[Решено] Как включить доменного пользователя в локальные группы Линукс

[Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium » 23.10.2008 10:31

Подключил Лниукс-машину к AD, под доменной учёткой вхожу на Линукс-машину, доступ к виндовс-серверам есть, но при попытке ввести в терминале команду su выдает «Отказано в доступе». Как ввести доменного пользователя в локальные группы линукс-машины?

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Ariasp » 23.10.2008 11:34

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium » 24.10.2008 03:35

Спасибо, проблема вроде как решилась, но не до конца:
Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/gshadow. Вроде всё получилось: пользователь появился в списке окна входа в систему, я зашел под этим пользователем, доступ к папкам на сервере Windows остался, команда su в терминале стала выполняться, но это была уже другая учётная запись: домашний каталог у неё был /home/domain/domain-user, а у доменной учётной записи — /home/DOMAIN/domain-user.
Когда я вручную исправил domain на DOMAIN в /etc/passwd, то KDM меня не пустил, выдал ошибку.
Отсюда вопрос: как сделать, чтобы при первом входе под доменной учётной записью она автоматом прописывалась в /etc/group, /etc/gshadow, etc/gshadow в качестве локального юзера Linux-машины?

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Ariasp » 24.10.2008 12:30

Отсюда вопрос: как сделать, чтобы при первом входе под доменной учётной записью она автоматом прописывалась в /etc/group, /etc/gshadow, etc/gshadow в качестве локального юзера Linux-машины?

а оно вам точно надо? — если у тебя winbind назначает uid и gid доменным учёткам, то доменного юзера не нужно прописывать в /etc/group — всё решается использованием pam_winbind, pam_mkhomedir и настройкой nsswitch.conf; если в выводе команды getent group присутствуют доменные группы, значит всё настроено верно, и вышеописанных проблем по идее быть не должно (добавление в /etc/group имеет смысл только с точки зрения дополнительных прав доменной учётки на линукс-машине, например для возможности выполнять команду su -> добавить доменную учётку в группу wheel хоть редактированием /etc/group, хоть командой gpasswd)

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium » 24.10.2008 13:11

всё решается использованием pam_winbind, pam_mkhomedir и настройкой nsswitch.conf; если в выводе команды getent group присутствуют доменные группы, значит всё настроено верно

pam_winbind, pam_mkhomedir прописаны, домашняя директория создаётся, но getent group выводит только содержимое файла /etc/group, доменных групп в ней нет. Команды wbinfo -g и wbinfo -u выводят доменные группы и доменных пользователей соответственно.

Я в предыдущем посте немного ошибся, написал «Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/gshadow», а надо было «Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/passwd», т.е. я вручную прописал пользователя и в /etc/passwd.

Спасибо, вроде помогло! А в остальные группы типа cdrom, scanner, radio и им подобных тоже пользователя тоже надо вручную добавлять?

Удалил я внесённого вручную пользователя из /etc/group, /etc/gshadow, /etc/passwd, соответственно, в окне менеджера входа в систему (KDM) из списка он пропал. А можно ли сделать так, чтобы он там остался?

Источник