l'aggiunta di un gruppo secondario per l'utente tramite CLI in Lion non funziona

0

Devo assegnare un'iscrizione di gruppo secondaria a un utente su un computer client che esegue 10.7.4. In CLI

edit3:~ admin$ sudo su -
edit3:etc root# dseditgroup -o edit -a userA -t user QC
edit3:etc root# dseditgroup -o edit -a userB -t user QC
edit3:etc root# dsmemberutil checkmembership -U userA -G QC
user is a member of the group
edit3:etc root# dsmemberutil checkmembership -U userB -G QC
user is a member of the group

Quando userA o userB si collegano al mio cluster Isilon, gli viene negato l'accesso (non ha i privilegi di QC)

Quindi provo questo:

edit3:~ root# cd /etc/
edit3:etc root# dscl . append /Groups/QC GroupMembership userA
edit3:etc root# dscl . append /Groups/QC GroupMembership userB

edit3:etc root# dsmemberutil checkmembership -U userA -G QC
user is a member of the group
edit3:etc root# dsmemberutil checkmembership -U userB -G QC
user is a member of the group

Ancora una volta, gli utenti hanno negato l'accesso.

Ottenere maggiori dettagli:

edit3:~ root# dscacheutil -q group | grep QC -B 10 -A 10

name: groupX
password: 
gid: 1009

name: QC
password: 
gid: 1021
users: scook dfarley 

name: groupZ
password: 
gid: 1012

Divertente che il gruppo QC elenchi membri con appartenenza secondaria ma nessun primario elencato in nessun gruppo (eccetto i gruppi di sistema)

Ancora scavando per maggiori informazioni:

edit3:~ root# dscl . readall /users | grep Secondary -B 10 -A 10
edit3:~ root#

Domande: Perché il sistema non presenta correttamente l'appartenenza a un gruppo secondario, dal momento che abbiamo verificato che utenteA e utenteB appartengono effettivamente al gruppo QC? Posso elencare l'abbonamento secondario insieme all'iscrizione principale?

Eseguendo esattamente gli stessi passaggi su un altro client che esegue la stessa versione del sistema operativo. Ho fatto i reboot, seguendo le modifiche. Quindi ho reinstallato il SO pulito e ripetuto l'intero ciclo, due volte. Ancora nessuna gioia.

Chiunque?

    
posta Tom S 09.11.2012 - 01:15
fonte

2 risposte

0

Dopo aver esaminato i pcaps della mia sessione con Wireshark, ho scoperto che sotto OSX 10.6.8 i GID ausiliari elencano il mio gruppo QC (# 1021) (uno che è stato aggiunto manualmente) nell'handshake, mentre in OSX 10.7.4 il I GID ausiliari non includono tali informazioni.

    
risposta data 20.11.2012 - 19:44
fonte
1

Risposta superfica ma forse può essere d'aiuto:

groups username 

mi dice che questo comando è deprecato e dovrei usare

id -Gn 

o

id -p

Quindi ottengo l'elenco dei gruppi a cui appartengo nella sua interezza.

man id 

dsmemberutil seems more like a way to query the data store, which I was actually looking for,so I hope this helps you. Thanks.
    
risposta data 09.11.2012 - 05:19
fonte

Leggi altre domande sui tag