Лялька: як створювати та керувати користувачами та групами unix

Цього минулого тижня я витратив усі зусилля на вивчення лялечки. Зараз я страждаю від переповнення психічного буфера і мало впевненості в тому, що коли-небудь зможу приручити цього звіра. Я зіткнувся з багатьма поміченими прикладами, але через їх незліченну кількість варіантів я не можу розрізнити між рекомендованими (останніми) стилями ляльок та умовами, а також спеціальними підходами "працює для мене". Я не можу терпіти, тому що, здається, йдеться про основні речі.

Так. Використовуючи Лялечку для управління групами та користувачами, основна група користувачів дорівнює їх власному імені користувача, інші групи можуть бути lanдля входу в мережу, wheelдля адміністраторів, shellдля користувачів з оболонкою на довільних вузлах, mailдля користувачів, daemonsдля різних демонів. Логіни адміністратора будуть на всіх вузлах, а для того, щоб погіршити ситуацію, реєстрація в мережі може бути і входом в оболонку.

З того, що я розумію, добре визначити користувача декілька разів, якщо ви використовуєте віртуальні визначення, які реалізуються в якийсь момент. Звучить fab, то як це працює з кількома групами для користувача? Скажімо, Боб може використовувати як локальні вузли, так і вузол beastie.wan; чи визначається його логін thebobдва рази, в lanusers.pp з groups => ["lan"]і в shellusers.pp groups => ["shell"]? Що робити, якщо Боб хоче, щоб його пароль від мережі був відокремлений від пароля оболонки?

Код, який я зараз використовую, не має віртуальних визначень, користувачі просто жорстко закодовані поодинокі включення. Одного разу я натрапив на приклад за допомогою віртуалів, і саме тут я застряг, бо не розумію, як розширити код, щоб Лялька створила первинну групу та необхідні групи, які я визначив спочатку, а потім приєднується до користувача в цих групах .

Правильно. Будь ласка, зрозумійте мене належним чином.

puppet users groups

— барабанне багаття
джерело

Відповіді:

Зараз я страждаю від переповнення психічного буфера і мало впевненості в тому, що коли-небудь зможу приручити цього звіра.

Перший: відпочити. Я дізнався, що, коли ви новачок у чомусь із кривою навчання, наприклад, Ляльковий, досить легко перемогтись і не зможете багато зробити.

чи визначається його вхід thebob два рази, у lanusers.pp з групами => ["lan"] та в shellusers.pp з groups => ["shell"]?

Ні. Практично визначте його в одному місці (можливо users.pp) за допомогою groups => ['shell', 'lan',].

На вузлах усвідомити потрібних користувачів. Наприклад, якщо node beaminми хочемо, щоб усі shellкористувачі:

node beamin {
    Account <| groups == 'shell' |>
}

Що робити, якщо Боб хоче, щоб його пароль від мережі був окремим від пароля оболонки?

Тоді Боб, мабуть, повинен отримати 2 різні акаунти з різними іменами для входу.

— Белмін Фернандес
джерело

Дякую. Ти маєш рацію щодо першої частини, я все-таки переповнився. Але ваша друга відповідь допомогла, здавалося, що наводить інші думки в рух, і тепер я маю на увазі, що працює належним чином, з практично визначеними користувачами, які реалізуються в їх правильних місцях. Дякую, що допомогли мені у цьому. :)

— барабанне вогнище

Не проблема. Перед віртуальними деклараціями ця проблема передбачала дуже складне рішення. Подумайте, що пощастило, що ви приїхали на борт експрес-ляльок зараз ;-).

— Белмін Фернандес

Я використовую віртуальні декларації, але мені потрібно, щоб деякі користувачі були в групі "sudo" на деяких хостах, а не в інших. Це не вирішує цей сценарій (і мені важко зрозуміти, що робити: D).

— jjmontes

Лялька не справляється зі складним управлінням користувача / групи. Вам буде набагато краще розгортати щось на кшталт LDAP - наскільки мені це не подобається, це буде працювати набагато краще, ніж намагатися перемогти Маріонетку на подання.

— жіночий
джерело

Або FreeIPA. Лялька приємна для сервісних акаунтів, які повинні бути в системі, але не керувати постійними користувачами ...

— ewwhite

З усією повагою (будучи тим, що ви є вищим членом СФ): я не думаю, що це відповідає на питання. Питання: "Як мені створити користувачів Unix та керувати ними та групами у ляльці?". A: "LDAP". Я вважаю, що відповіді, подібні до цієї, краще підходять як коментарі. Звичайно, якщо це обговорювалося раніше в мета чи щось таке, можливо, я просто неінформований. Будь ласка, не ненавиджу мене :-).

— Белмін Фернандес

@ BeamingMel-Bin: У SF є сильний дух "правильного інструменту для роботи". Якщо хтось запитає "який найкращий спосіб вдарити цей гвинт молоточком, щоб змусити його зайти?", Ми відповімо "купити викрутку", не даючи тривалих трактатів про переваги різних технік молотка. Це тому, що більшість запитуючих тут або настільки недосвідчені, або неосвічені, що вони не усвідомлюють, що існують кращі рішення, або навіть, що кращі рішення можуть існувати (і, отже, вони не знають запитувати, "чи є кращий спосіб домогтися цього? гвинт? "або" який найкращий спосіб заїхати в цей гвинт? ").

— жіночий

@drumfire: Знову ж таки, якщо ви запитуєте, як зробити щось дурне, правильна відповідь - "не робіть цього". Так працює SF. Ми не тут, щоб допомогти людям робити дурні речі, ми тут, щоб зробити ефективніших сисадмінів.

— жіночий

SF, будучи частиною оригінальної трилогії, існує набагато довше і має набагато сильніший "незалежний дух", ніж інші, більш однорідні, сайти SE. Тут також слід враховувати макіяж користувачів. Сисадміни каламутні та самовпевнені.

— жіноча