Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 13/06/2006, à 10:02

daggett

Ajout d'utilisateurs du domaine à la volée dans /etc/group

Salut,
ça y est j'ai réussi à inclure mes utilisateurs du domaine W2003 ADS dans mon fichier /etc/group!
Lors de leur login, mon script récupère la liste des groupes du domaine auxquels ils appartiennent,
il compare cette liste à un fichier contenant les correspondances entre les groupes de domaine et les groupes locaux à pourvoir (genre: NomDuGroupeDomaine:GIDDOM:GroupeLocal1 GroupeLocal2).
Ensuite il modifie le fichier /etc/group en fonction de cette liste.
Lors du logout de l'utilisateur, l'opération inverse est effectuée: on enlève l'utilisateur selon le fichier de correspondance (on enlève les modifs).

J'ai utilisé Bash et AWK, ça marche bien, sauf pour l'ouverture de session graphique, les droits sont pourtant bons et attribués par /etc/gdm/PostLogin/Default donc juste après le login, mais le menu admin ou le son restent désespérément indisponibles même avec les bons droits (utilisateur dans admin et audio par ex.).

Par contre si les droits sont ajoutés AVANT le login de l'utilisateur; lorsque l'utilisateur se log, il a accès à tout ce qu'il a le droit, sans problème.

Si quelqu'un a une idée, ou veut le détail des scripts: demandez, suggérez!

Voilà,
à+

Hors ligne

#2 Le 14/06/2006, à 22:23

snapshot

Re : Ajout d'utilisateurs du domaine à la volée dans /etc/group

Salut,

Je ne sais pas trop, mais pour déboguer ce genre de situation, il y a la commande "id" (toute simple) qui affiche l'id de l'utilisateur, surtout, l'appartenance à tous ses groupes. Je ne sais pas si tu la connais, mais moi j'ai été très heureux de savoir qu'elle existait !
Tu devrais ouvrir un terminal, pour la lancer, juste pour vérifier que l'absence de son vient bien d'un problème de groupe... pas la peine de s'embarquer sur une fausse piste

Pour le reste, j'ai effectivement une hypothèse : l'attribution des groupes à l'utilisateur est faite aussitot après l'authentification de l'utilisateur, et sont attachés au processus courant. Ensuite, tous les processus "forkés" héritent de cette liste (tout comme les variables d'environnement). Seulement, si tu modifies le fichier /etc/group, il est possible que tu le fasses trop tard. La liste attaché au processus est déjà constituée, et il n'est plus nécessaire de lire le fichier... Donc, tu l'as modifié pour rien !

En fait, tu as le même problème que moi, qui cherche le moyen de modifier dynamiquement l'appartenance aux groupes sans avoir besoin de se deloguer/reloguer. J'ai exploré les commandes supposées le faire : newgroup et sg, mais sans succès. J'ai appris qu'un groupe pouvait avoir un mot de passe (ha bon ???).

Ma conclusion et que ce n'est pas possible : il faudrait modifier l'environnement de toute l'arborescence des processus existants de l'utilisateur, alors qu'on ne peut agir que sur son environnement à soi, qui à son tour sera hérité par les nouveaux processus qu'on lancera. C'est pour ça que l'affectation aux groupes est faite dès le login : c'est le moment stratégique pour le faire.
Mais ça, c'est ce que j'ai cru comprendre... je peux me tromper. D'ailleurs j'ai du mal à faire fonctionner les commandes newgrp et sg

Voilà, si ça peut t'aider... smile

Pensez à mettre [Résolu] dans le titre une fois votre problème réglé !

Hors ligne

#3 Le 15/06/2006, à 10:05

daggett

Re : Ajout d'utilisateurs du domaine à la volée dans /etc/group

Ok, merci beaucoup à toi,
Effectivement, j'ai refait mon script, les droits sont bien attribués au moment même du login de l'utilisateur. La commande id me renvoyait la liste des "anciens" groupes de l'utilisateur.
Dans mon cas, le script modifie l'appartenance aux groupe(les droits) après le login, ça semble impossible de les modifier au moment du login. Juste après son premier login, l'utilisateur se voit attribuer des droits, il est donc tout de suite déloggé (logout) puis il se re-login avec ses droits tous bien comme il faut.
Je me base sur le fait que les droits des utilisateurs ne sont que rarement modifiés, donc, appliquer les nouveaux droits au prochain login n'est pas pénalisant.
Je ne retire donc plus les droits au logout.
Je fais aussi le ménage parmi les utilisateurs qui se sont déjà loggé (un fichier liste les utilisateurs se loggant sur la machine), en supprimant le home des utilisateurs qui n'existent plus dans l'AD.

voilà,
merci,
à+

Dernière modification par daggett (Le 15/06/2006, à 10:14)

Hors ligne

Pages : 1