Используйте getgrnam() для запроса только локальных групп

Question

Я пытаюсь интегрировать автономный продукт в среду LDAP.

У меня есть система RHEL 6.7, которая настроена для аутентификации ldap (через sss), что мне необходимо программным образом добавить локальных пользователей и группы.

Входной файл xml содержит список пользователей и групп с их членством в группе, оболочкой входа, идентификатором пользователя и идентификатором группы, который следует использовать.

Теперь возникает проблема: у меня есть скрипт Perl, который использует XML-файл для настройки пользователей и групп, он использует getgrnam и getpwnam для запроса для пользователей и групп, а затем выполняет системный вызов groupmod/groupadd и usermod/useradd, если пользователь существует или нет. Я обнаружил, что если LDAP имеет группу с тем же именем, что и группа, которую я пытаюсь создать, мой скрипт увидит группу как существующую и перейдем к groupmod вместо groupadd. Тогда бинарные файлы группы будут выполнять операции только с локальными группами и сбой, потому что группа не существует локально. NSS настроен для проверки файлов, затем sss, что имеет смысл, почему getgrnam возвращает группу ldap.

Есть ли способ, чтобы getgrnam и getpwnam запрашивали локальную систему без необходимости перенастроить nsswitch.conf и, возможно, остановить/запустить SSSD при запуске скрипта?

Есть ли еще одна функция perl, которую я могу использовать для запроса только локальных пользователей/групп?

Answer 1

Короткий ответ - цель этих вызовов функций состоит в том, чтобы сделать механизмы аутентификации прозрачными. Вы можете использовать , и никто не захочет вручную перевернуть свои собственные локальные файлы/ldap/yp/nis +/произвольный механизм аутентификации PAM.

Если вы специально заинтересованы в содержании местных passwd и group файлов, я хотел бы предложить ответ - читать тех, кто непосредственно.