我们使用Puppet来管理我们的
Linux桌面计算机和SSSD,以根据中央身份验证系统对我们的用户进行身份验证.最近在设置一些新机器时,我们发现木偶在安装软件包的过程中停滞不前.罪魁祸首是kdm软件包,它最近在向中央机构添加了“kdm”用户名时尝试添加本地“kdm”用户.
通常我看到这个问题是通过命名空间划分机制(例如Windows域)来处理的,但是我在Linux管理中的短暂时间并没有真正帮助我找到一个好方法.
我可以弄清楚如何解决这个问题的一些一般性想法(在最优雅到最不优雅):
>找出一种从中央用户名中划分系统用户名的好方法,这样未来的冲突就不会成为问题.
>对dpkg使用一些标志来强制kdm包添加不同的用户名(或使用nobody).
>强制dpkg添加用户.这将不允许用户登录我们的系统,但很有可能这不会成为问题.
当然,(2)和(3)没有解决潜在的问题,但如果(1)的解决方案对我们当前的设置特别有害,那么像(2)或(3)这样的东西可能更可取.
想出一个更好的用户命名方案…(或强制“kdm”使用不同的登录凭据)
多年来,我必须学习本课,因为我继承了具有三个字母用户名的商业Unix系统.将这些服务器移动到Linux会暴露与系统服务帐户的冲突.最糟糕的情况是Randy P. McDonald或userID“rpm”.基于Redhat的系统中的RPM package manager使用“rpm”帐户.
其他冲突随着时间发生.用户名“adm”,“lp”和“ftp”一直是个问题.
我的永久修复是修改用户命名方案以使其更加健壮.三个首字母不具有可扩展性.
这是了解您的环境的一部分.您使用桌面Linux(可能是使用KDM作为窗口管理器而不是Gnome),从权限和系统操作的角度来看,“kdm”用户是关键.
您对单个软件包或dpkg所做的任何更改都需要您在升级系统,移动到新的操作系统版本等时记住该步骤.添加用户可能会产生时髦的权限.