Progetto

Generale

Profilo

Segnalazione #404

Rimozione utenza in OctoNet ed /etc/group

Aggiunto da Paolo Dongilli oltre un anno fa. Aggiornato circa un anno fa.

Stato:
Commenti
Priorità:
Normale
Versione prevista:
-
Inizio:
07-09-2017
Scadenza:
% completato:

0%


Descrizione

Quando si rimuove un'utenza via OctoNet noto che in

/etc/group

l'utente rimane nei gruppi cui era stato assegnato (p.es. audio, plugdev, internet, ...).

Cronologia

#1 Aggiornato da Christopher R. Gabriel oltre un anno fa

  • Stato modificata da Nuovo a Commenti
  • Assegnato a modificata da TRUELITE a Paolo Dongilli

Questo su un client o su un server? Resta anche dopo l'aggiornamento eseguito da octofuss-client?

#2 Aggiornato da Paolo Dongilli oltre un anno fa

  • Assegnato a modificata da Paolo Dongilli a Christopher R. Gabriel

Christopher R. Gabriel ha scritto:

Questo su un client o su un server?

Su server.

Resta anche dopo l'aggiornamento eseguito da octofuss-client?

Le utenze che ritrovo assegnate ai gruppi le avevo cancellate tempo fa.

plugdev:x:46:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre,haldaemon
audio:x:29:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre
...

Consiglio di fare una prova di creazione e cancellazione.

#3 Aggiornato da Christopher R. Gabriel oltre un anno fa

  • Assegnato a modificata da Christopher R. Gabriel a Paolo Dongilli

Hai lo stesso comportamento sul client? (visto che i due processi sono leggermente diversi)

#4 Aggiornato da Paolo Dongilli oltre un anno fa

  • Assegnato a modificata da Paolo Dongilli a Christopher R. Gabriel

Christopher R. Gabriel ha scritto:

Hai lo stesso comportamento sul client? (visto che i due processi sono leggermente diversi)

Sì. Da /etc/group sul client:

plugdev:x:46:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre,haldaemon
audio:x:29:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre
...

#5 Aggiornato da Christopher R. Gabriel oltre un anno fa

  • Assegnato a modificata da Christopher R. Gabriel a Paolo Dongilli

Ho rivisto la cosa, e' stato fatto cosi' originariamente - dipende da octofuss-client, non da octonet - per evitare che utenti locali, creati in casi specifici, non perdessero gli eventuali privilegi assegnateli sul singolo client.

Siccome il dato sui client e' frutto di una sincronizzazione, octofuss-client si assicura che l'utente abbia o meno i prilevigi che gli sono stati impostati su octonet, ma se l'utente sparisce (perche' rimosso), al momento della sincronizzazione questo potrebbe essere un utente locale, da qui la non rimozione.

In ogni caso, lasciarceli non causa alcun problema, proprio perche' l'utente non esiste.. se viene ricreato con lo stesso nome, a quel punto i permessi verranno cambiati alla prima sincronizzazione.

#6 Aggiornato da Paolo Dongilli circa un anno fa

  • Stato modificata da Commenti a Chiuso

In ogni caso, lasciarceli non causa alcun problema, proprio perche' l'utente non esiste.. se viene ricreato con lo stesso nome, a quel punto i permessi verranno cambiati alla prima sincronizzazione.

Perfetto, ha senso. Chiudo la issue, grazie.

#7 Aggiornato da Paolo Dongilli circa un anno fa

  • Stato modificata da Chiuso a Commenti

Riapro perché ci sono due altre questioni che a dire il vero non mi piacciono:

- gli utenti cancellati rimangono assegnati ai gruppi anche sul server in /etc/group
- penso al caso in cui vengano creati 500 utenti per errore, cancellati e poi questi rimangono assegnati ai gruppi ... non bello.

Riguardo a clash con utenti locali, direi che i referenti o i tecnici debbono fare attenzione a non creare utenze locali uguali a utenti LDAP.

Lascio impostato il ticket a normale ma va trovata una soluzione.

#8 Aggiornato da Paolo Dongilli circa un anno fa

  • Assegnato a modificata da Paolo Dongilli a TRUELITE

#9 Aggiornato da Christopher R. Gabriel circa un anno fa

  • Assegnato a modificata da TRUELITE a Paolo Dongilli

Paolo Dongilli ha scritto:

Riapro perché ci sono due altre questioni che a dire il vero non mi piacciono:

- gli utenti cancellati rimangono assegnati ai gruppi anche sul server in /etc/group

Si perche' il processo di sincronizzazione riguarda tutte le macchine. In particolare il server per il gruppo internet usato dal proxy per l'autenticazione. Quindi la questione vale anche per il server.

- penso al caso in cui vengano creati 500 utenti per errore, cancellati e poi questi rimangono assegnati ai gruppi ... non bello.

Riguardo a clash con utenti locali, direi che i referenti o i tecnici debbono fare attenzione a non creare utenze locali uguali a utenti LDAP.

Non e' tanto il discorso di creare utenze locali uguali a utenti LDAP (tanto poi per il sistema conterebbero solo quelle locali, visto che NSS risolve prima localmente), tanto quanto, come dicevo sopra, se ad utenze locali vengono assegnati privilegi, poi vengono persi alla sincronizzazione, perche' octofussd non conosce le utenze locali.

#10 Aggiornato da Paolo Dongilli circa un anno fa

  • Assegnato a modificata da Paolo Dongilli a Christopher R. Gabriel

Quindi vuoi dire che dobbiamo mantenere un /etc/group sporco?

#11 Aggiornato da Christopher R. Gabriel circa un anno fa

  • Assegnato a modificata da Christopher R. Gabriel a Paolo Dongilli

No, non ho mai scritto questo - stavo solo spiegando le motivazioni di fondo della scelta di implementazione, considerando che avere li' utenti in piu' non comporta problemi, come invece puo' comportarne la loro rimozione, per permetterti una migliore valutazione della cosa.

Se pensi che averlo "sporco" come dici sia un problema per te, e che nessuno assegnera' mai gruppi che rappresentano privilegi (plugdev, cdrom etc) ad utenti locali, si puo' anche cambiare. Ma non e' mai stato un problema negli ultimi dieci anni :-)

#12 Aggiornato da Paolo Dongilli circa un anno fa

  • Assegnato a modificata da Paolo Dongilli a Christopher R. Gabriel

Capisco perfettamente che non dà problemi e che quindi potrei comodamente chiudere la issue.
Ma non c'è modo per octofuss-client di discernere se un'utenza presente in /etc/group non esiste localmente per fare in tal caso pulizia?

Esporta su Atom PDF