LaoBlog

Lo scenario è il seguente: Un PDC Debian-linux con samba ed LDAP, alcuni clients linux connessi alla stessa rete. Gli utenti foo e bar si loggano ai diversi clients linux, autenticandosi su LDAP, sia attraverso un gestore di login grafico (gdm, kdm, xdm), che via terminale (locale o remoto, via ssh). Il problema è che foo e bar, quando si loggano ad un pc client, non riescono ad accedere ad alcuni dispositivi, o ad effettuare alcune operazioni piuttosto comuni per un qualunque utente desktop. Ciò in quanto gli utenti LDAP non sono inseriti all'interno dei gruppi locali della macchina, che hanno gli appositi privilegi per accedere a certi dispositivi. Per esempio a tali utenti è precluso l'utilizzo del masterizzatore, oppure dello scanner, o addirittura non possono utilizzare il dispositivo audio e quindi ascoltarsi un file ogg. A ciò si può ovviare inserendo gli utenti LDAP nei gruppi locali appositi. Al momento dobbiamo effettuare tale operazione su tutti i clients linux, manualmente, ma ciò potrebbe anche essere automatizzato utilizzando uno script di login. Bisogna comunque tener presente che diverse distribuzioni implementano anche diversi gruppi locali, e che quindi se il dispositivo X su Ubuntu è di proprietà del gruppo foobar, lo stesso dispositivo su Slackware potrebbe essere di proprietà del gruppo barfoo. Inoltreciò che noi consideriamo essere lo stesso dispositivo (es un lettore cdrom), può essere identificato su macchine diverse con un identificativo/nome diverso; per esempio su di un pc il lettore cdrom può essere /dev/cdrom, mentre su di un altro potrebbe essere /dev/cdrom0, o /dev/dvd. In caso di automazione dell'inserimento di utenti LDAP in gruppi locali attraverso scripts, ciò va tenuto in considerazione.

Facciamo un esempio pratico. Gli utenti foo e bar sono soliti loggarsi su di un pc con installata Ubuntu 8.10. Il loro problema è che non riescono ad utilizzare lo scanner, perché non hanno i privilegi appropriati. Una possibile via potrebbe essere quella di cambiare al volo i permessi del dispositivo, ma non è molto sicuro. Preferiamo a questo punto aggiungere i due utenti al gruppo apposito che ha i privilegi adatti sul dispositivo. Consideriamo di avere uno scanner, o stampante, connesso attraverso la porta parallela. In tal caso, il nome del dispositivo sulla distribuzione Ubuntu 8.10 è /dev/parport0. Ora vediamo qual è il gruppo proprietario del device, attraverso la visualizzazione dei permessi del device. Colleghiamoci come utente root e digitiamo ls -l /dev/parport0. L'output è il seguente:

crw-rw---- 1 lp lp 99, 0 2009-01-04 14:39 /dev/parport0

Possiamo vedere che il device (a caratteri) è di proprietà dell'utente di sistema lp, e del gruppo lp, e che ambedue hanno i privilegi di lettura/scrittura su di esso (rw-). A questo punto, sempre come utente root, digitiamo:

$ usermod -G lp foo

e poi

$ usermod -G lp bar

Il flag -G viene utilizzato per indicare un gruppo secondario di apppartenenza dell'utente, nel nostro caso il gruppo lp.

In tal modo gli utenti foo e bar sono stati aggiunti al gruppo lp, che come abbiamo visto, ha i privilegi per leggere e scrivere sul dispositivo /dev/parport0 (la porta parallela del computer), al quale è collegato il nostro scanner. Analogamente, i due utenti possono essere inseriti anche in altri gruppi locali, come il gruppo cdrom o il gruppo audio, se necessario. Un discorso a parte va fatto per i dispositivi plug & play che si collegano su bus usb, come per esempio le chiavette di memoria. Su Debian Etch in teoria dovrebbe bastare inserire un utente nel gruppo plugdev, ma tutto dipende da quale sistema una distribuzione utilizza per rilevare e montare un dispositivo hot plug come appunto le chiavi usb.