Группы без доменов

Компонент групп без доменов предоставляет возможность помещать пользователей, определенных в одном домене, в группы, определенные в другом домене. Этот компонент поддерживает только домены LDAP и локальные домены.

Пользователи и группы на сервере LDAP создаются с помощью загружаемого модуля идентификации LDAP (модуля LDAP). Также можно создавать пользователей и группы в локальной системе с помощью загружаемого модуля локальной идентификации (локального модуля). Когда компонент domainlessgroups выключен, невозможно помещать пользователей и группы пользователей, которые созданы в LDAP или в локальной системе, в группы, размещенные в другом домене. Например, пользователя, который создается в домене LDAP, невозможно поместить в группу, связанную с локальным доменом.

Для того чтобы устранить это ограничение и помещать пользователей как в группы LDAP, так и в локальные группы, включите системное свойство domainlessgroups. Свойство domainlessgroups определено в файле /etc/secvars.cfg. Оно поддерживается только для модулей LDAP локальных модулей. Ниже приведены допустимые значения этого свойства:

false (по умолчанию): Атрибут группы из модулей LDAP и локальных модулей не включается.
истина: Атрибут группы из модулей LDAP и локальных модулей включается. Например, пользователей LDAP можно поместить в локальные группы.

Для просмотра значения свойства domainlessgroups запустите следующую команду:

lssec -f /etc/secvars.cfg -s groups -a domainlessgroups

Для того чтобы присвоить свойству domainlessgroups значение true, запустите следующую команду:

chsec -f /etc/secvars.cfg -s groups -a domainlessgroups=true

В приведенной ниже таблице показаны различия между командами для пользователей и групп в зависимости от значения свойства domainlessgroups.

Табл. 1. Результаты выбранных команд, на которые влияет свойство domainlessgroups
Команда	Результаты при значении свойства domainlessgroups true
`chgroup -R ldap\|files`	Обновляет группу в указанном домене. Пользователя можно добавить как в группу LDAP, так и в локальную группу.
`chuser -R ldap\|files`	Изменяет параметры пользователя в указанном домене. Если указаны группы, определенные в другом домене, то информация о пользователях в этих группах тоже обновляется.
`login username` или `su`	Извлекает атрибуты пользователя из реестра пользователей за исключением атрибута ИД группы. Включаются атрибуты пользователя для ИД группы как из домена LDAP, так и из локального домена.
`lsgroup -R ldap\|files`	Выводит все атрибуты группы для указанного домена. Если указанная группа не найдена в указанном домене, то происходит сбой команды.
`lsuser -R ldap\|files`	Выводит атрибуты пользователя после объединения информации из всех групп домена, в котором определен пользователь, и из другого домена. Если основная группа пользователя не определена в домене, в котором определен пользователь, оно извлекается из другого домена.
`mkgroup -R ldap\|files`	Создает группу в указанном домене. После создания группы пользователь (LDAP или локальный) помещается в базу данных групп этого домена. Пользователя можно добавить в группу LDAP или в локальную группу.
`mkuser -R ldap\|files`	Создает пользователя в указанном домене. Если указаны группы, определенные в другом домене, то информация о пользователях в этих группах тоже обновляется.
`rmgroup -R ldap\|files`	Удаляет указанную группу из указанного домена. Если группа назначается основной группой какого-либо пользователя, определенного в каком-либо домене, то происходит сбой команды.
`rmuser -R ldap\|files`	Удаляет указанного пользователя из указанного домена. Также удаляет пользователя из всех групп, определенных в другом домене, если он является их участником.