Project

General

Profile

Segnalazione #404

Rimozione utenza in OctoNet ed /etc/group

Added by Paolo Dongilli about 2 years ago. Updated about 2 years ago.

Status:
Commenti
Priority:
Normale
Start date:
09/07/2017
Due date:
% Done:

0%


Description

Quando si rimuove un'utenza via OctoNet noto che in

/etc/group

l'utente rimane nei gruppi cui era stato assegnato (p.es. audio, plugdev, internet, ...).

History

#1 Updated by Christopher R. Gabriel about 2 years ago

  • Status changed from Nuovo to Commenti
  • Assignee changed from TRUELITE to Paolo Dongilli

Questo su un client o su un server? Resta anche dopo l'aggiornamento eseguito da octofuss-client?

#2 Updated by Paolo Dongilli about 2 years ago

  • Assignee changed from Paolo Dongilli to Christopher R. Gabriel

Christopher R. Gabriel ha scritto:

Questo su un client o su un server?

Su server.

Resta anche dopo l'aggiornamento eseguito da octofuss-client?

Le utenze che ritrovo assegnate ai gruppi le avevo cancellate tempo fa.

plugdev:x:46:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre,haldaemon
audio:x:29:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre
...

Consiglio di fare una prova di creazione e cancellazione.

#3 Updated by Christopher R. Gabriel about 2 years ago

  • Assignee changed from Christopher R. Gabriel to Paolo Dongilli

Hai lo stesso comportamento sul client? (visto che i due processi sono leggermente diversi)

#4 Updated by Paolo Dongilli about 2 years ago

  • Assignee changed from Paolo Dongilli to Christopher R. Gabriel

Christopher R. Gabriel ha scritto:

Hai lo stesso comportamento sul client? (visto che i due processi sono leggermente diversi)

Sì. Da /etc/group sul client:

plugdev:x:46:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre,haldaemon
audio:x:29:testuser,prova,prova4,prova5,cancellami1,test6,provadoc,alunno1,provadoc01,provainternet,provatre
...

#5 Updated by Christopher R. Gabriel about 2 years ago

  • Assignee changed from Christopher R. Gabriel to Paolo Dongilli

Ho rivisto la cosa, e' stato fatto cosi' originariamente - dipende da octofuss-client, non da octonet - per evitare che utenti locali, creati in casi specifici, non perdessero gli eventuali privilegi assegnateli sul singolo client.

Siccome il dato sui client e' frutto di una sincronizzazione, octofuss-client si assicura che l'utente abbia o meno i prilevigi che gli sono stati impostati su octonet, ma se l'utente sparisce (perche' rimosso), al momento della sincronizzazione questo potrebbe essere un utente locale, da qui la non rimozione.

In ogni caso, lasciarceli non causa alcun problema, proprio perche' l'utente non esiste.. se viene ricreato con lo stesso nome, a quel punto i permessi verranno cambiati alla prima sincronizzazione.

#6 Updated by Paolo Dongilli about 2 years ago

  • Status changed from Commenti to Chiuso

In ogni caso, lasciarceli non causa alcun problema, proprio perche' l'utente non esiste.. se viene ricreato con lo stesso nome, a quel punto i permessi verranno cambiati alla prima sincronizzazione.

Perfetto, ha senso. Chiudo la issue, grazie.

#7 Updated by Paolo Dongilli about 2 years ago

  • Status changed from Chiuso to Commenti

Riapro perché ci sono due altre questioni che a dire il vero non mi piacciono:

- gli utenti cancellati rimangono assegnati ai gruppi anche sul server in /etc/group
- penso al caso in cui vengano creati 500 utenti per errore, cancellati e poi questi rimangono assegnati ai gruppi ... non bello.

Riguardo a clash con utenti locali, direi che i referenti o i tecnici debbono fare attenzione a non creare utenze locali uguali a utenti LDAP.

Lascio impostato il ticket a normale ma va trovata una soluzione.

#8 Updated by Paolo Dongilli about 2 years ago

  • Assignee changed from Paolo Dongilli to TRUELITE

#9 Updated by Christopher R. Gabriel about 2 years ago

  • Assignee changed from TRUELITE to Paolo Dongilli

Paolo Dongilli ha scritto:

Riapro perché ci sono due altre questioni che a dire il vero non mi piacciono:

- gli utenti cancellati rimangono assegnati ai gruppi anche sul server in /etc/group

Si perche' il processo di sincronizzazione riguarda tutte le macchine. In particolare il server per il gruppo internet usato dal proxy per l'autenticazione. Quindi la questione vale anche per il server.

- penso al caso in cui vengano creati 500 utenti per errore, cancellati e poi questi rimangono assegnati ai gruppi ... non bello.

Riguardo a clash con utenti locali, direi che i referenti o i tecnici debbono fare attenzione a non creare utenze locali uguali a utenti LDAP.

Non e' tanto il discorso di creare utenze locali uguali a utenti LDAP (tanto poi per il sistema conterebbero solo quelle locali, visto che NSS risolve prima localmente), tanto quanto, come dicevo sopra, se ad utenze locali vengono assegnati privilegi, poi vengono persi alla sincronizzazione, perche' octofussd non conosce le utenze locali.

#10 Updated by Paolo Dongilli about 2 years ago

  • Assignee changed from Paolo Dongilli to Christopher R. Gabriel

Quindi vuoi dire che dobbiamo mantenere un /etc/group sporco?

#11 Updated by Christopher R. Gabriel about 2 years ago

  • Assignee changed from Christopher R. Gabriel to Paolo Dongilli

No, non ho mai scritto questo - stavo solo spiegando le motivazioni di fondo della scelta di implementazione, considerando che avere li' utenti in piu' non comporta problemi, come invece puo' comportarne la loro rimozione, per permetterti una migliore valutazione della cosa.

Se pensi che averlo "sporco" come dici sia un problema per te, e che nessuno assegnera' mai gruppi che rappresentano privilegi (plugdev, cdrom etc) ad utenti locali, si puo' anche cambiare. Ma non e' mai stato un problema negli ultimi dieci anni :-)

#12 Updated by Paolo Dongilli about 2 years ago

  • Assignee changed from Paolo Dongilli to Christopher R. Gabriel

Capisco perfettamente che non dà problemi e che quindi potrei comodamente chiudere la issue.
Ma non c'è modo per octofuss-client di discernere se un'utenza presente in /etc/group non esiste localmente per fare in tal caso pulizia?

Also available in: Atom PDF