Hola. Imaginemos que tenemos un servidor Debian con OpenLDAP para administración centralizada de usuarios y grupos, y por otra parte varias estaciones de trabajo con Debian, Ubuntus e incluso otras distribuciones que se autentican con libpam-ldap y tal.
Mi pregunta es sobre los grupos de sistema, ¿tendría alguna lógica meter los grupos como "audio", "video", "admin", "adm", "lpadmin", etc en el LDAP en vez de existir grupos locales en cada máquina? Entiendo que no puesto que cada distro usa sus propios grupos y sería un caos, pero en el caso de querer que un usuario se pueda loguear en varias máquinas, ¿cómo hacer elegantemente que pertenezca a los grupos imprescindibles como "audio", "video", "plugdev", etc...? porque claro, tener que ingresar en cada máquina como root y añadir usuarios LDAP a los grupos locales como que puede ser infernal y tedioso (no quiero ni imaginarlo en redes con muchos equipos). En este punto pregunto también cómo se hace esto en las redes de Microsoft con ActiveDirectory y tal, ¿necesitan los usuarios pertenecer a tantos grupos como en Linux para funcionar mínimamente en las estaciones de trabajo? ¿están esos grupos en el dominio o en cada máquina? Supongo que también se puede hacer la "ñapa" de crear en cada Linux primero el usuario local y en la propia instalación se añade a grupos de sistema, y luego configurar libpam-ldap para que busque primero en LDAP y encuentre el usuario y lo "sustituya" y así los grupos locales siguen incluyendo a ese usuario (aunque esté en el LDAP). Por último, ¿no os parece que el hecho de que un usuario o grupo en Linux esté determinado por un uid (o gid) y a la vez también por su nombre es poco eficiente? porque claro, hay sitios en los que hay que referirse (o es posible) al grupo por nombre (ej: adduser pepito grupo_usuarios) pero otros sitios en los que hay que poner el gid (en /etc/group por ejemplo). Vamos, que sería como una clave compuesta en la que ninguno de sus campos (uid y name) pueden ser repetidos. Saludos.
