Начиная с некоторой версии добавление в группы сломано для нелокальных пользователей. В результате, например, невозможно "добавить доменного пользователя в hasher". По сути, добавить доменного в локальные группы: $ sudo usermod -aG "sin_a,sin_b,hashman" "sin" [sudo] password for sin: usermod: не удалось заблокировать /etc/tcb/sin/shadow; попробуйте ещё раз позже. Раньше такое работало.
(In reply to Evgeny Sinelnikov from comment #0) > Начиная с некоторой версии добавление в группы сломано для нелокальных > пользователей. В результате, например, невозможно "добавить доменного > пользователя в hasher". По сути, добавить доменного в локальные группы: > > $ sudo usermod -aG "sin_a,sin_b,hashman" "sin" > [sudo] password for sin: > usermod: не удалось заблокировать /etc/tcb/sin/shadow; попробуйте ещё раз > позже. > > Раньше такое работало. Вынужден уточнить: раньше работал hasher-useradd или раньше работал usermod? https://git.altlinux.org/gears/h/..git?p=hasher-priv.git;a=commitdiff;h=2909fd748c24b46d24ee21c894d5b1964bfa1c99 До этого коммита (до версии 2.0.9 включительно) мы тут вызывали gpasswd. Работает ли эта программа?
Действительно, "раньше работал hasher-useradd", а теперь "через usermod" не работает. При этом gpasswd продолжает работать: $ id uid=758801104(sin) gid=758800513(domain users) группы=758800513(domain users),10(wheel), ... $ sudo usermod -aG ftpadmin sin [sudo] password for sin: usermod: не удалось заблокировать /etc/tcb/sin/shadow; попробуйте ещё раз позже. $ sudo gpasswd -a sin ftpadmin Добавление пользователя sin в группу ftpadmin $ id uid=758801104(sin) gid=758800513(domain users) группы=758800513(domain users),10(wheel),14(uucp),19(proc),22(cdrom),51(ftpadmin), ...
Эта проблема для нелокальных пользователей проявляется в различных задачах и примерах настройки. В частности для podman: - https://www.altlinux.org/Podman Вот такая команда также не работает: # usermod --add-subuids 100000-165536 --add-subgids 100000-165536 имя_пользователя
Есть ли какой-то дешёвый способ воспроизвести окружение с нелокальными пользователями, не поднимая тяжёлую доменную инфраструктуру, чтобы поотлаживать там usermod и вызываемый ею стек? Я, тем временем, откатываю (https://packages.altlinux.org/tasks/325527/) коммит в hasher-priv до исправления usermod, но это не повод закрывать сей багрепорт.
(In reply to Arseny Maslennikov from comment #4) > Есть ли какой-то дешёвый способ воспроизвести окружение с нелокальными > пользователями, не поднимая тяжёлую доменную инфраструктуру, чтобы > поотлаживать там usermod и вызываемый ею стек? Может быть, это воспроизводится и с локальными пользователями, которых нет в tcb.
Проверьте usermod из task #326297, пожалуйста.
Проверил на сизифной машине - работает. Проверял на командах: # usermod -aG "nfsuser" "sin" # usermod --add-subuids 100000-165536 --add-subgids 100000-165536 sin Выяснил, что пакет shadow-submap может быть и не установлен, тогда получаем такой эффект: $ sudo usermod --add-subuids 100000-165536 --add-subgids 100000-165536 sin usermod: /etc/subuid не существует, нельзя указывать флаги -v или -V Очень забавный эффект.
Да, диагностику бы этому сообщению чуть получше.
shadow-1:4.13-alt8 -> sisyphus: Wed Aug 02 2023 Mikhail Efremov <sem@altlinux> 1:4.13-alt8 - usermod: Allow group and submap operations for non-local user (closes: #46847).
