その他問い合わせ #2414
完了コマンド実行時の仕様について
説明
お世話になります。
JobArranger経由で実行ユーザーを指定してコマンドを発行するジョブを作成していますが、
実行ユーザのサブグループ情報が使用できないと思われる事象が発生しております。
具体的には、JobArranger経由でidコマンドを実行した場合と、
サーバにログインしてidコマンドを実行場合とでは結果に差異があり、
JobArranger経由ではサブグループまで表示されません。
また、実際にサブグループの書き込み権限でのファイル作成(touchなど)も
JobArranger経由では、permission deniedとなってしまう状況です。
考えられる原因を教えていただけますでしょうか。
よろしくお願い致します。
---------------------------------------------------
Job Arranger Server/Agent 導入先情報
OS:CentOS Linux release 7.2.1511 (Core) 64bit
パッケージ: jobarranger-agentd-3.0.0-1.el7.x86_64
jobarranger-server-mysql-3.0.0-1.el7.x86_64
--------------------------------------------------------
保守サポート 担当 さんがほぼ8年前に更新
- ステータス を 新規登録 から 受付完了 に変更
ジョブアレンジャーのご利用ありがとうございます。
実行ユーザーについては下記をご参照ください。ジョブアイコンの実行ユーザー指定以外にも設定要素があります。
http://ジョブ管理.fitechforce.com/reference-manual_2.1/account_of_job_execution.html
速やかな返信のためにサポート契約をご検討頂ければ幸甚です。
宜しくお願い致します。
匿名ユーザー さんがほぼ8年前に更新
担当者さま
ご回答ありがとうございます。
ご連絡頂いた、実行ユーザの設定につきましては、
期待通りの設定ができています。
本トピックで確認させて頂きたい内容は、
ジョブの実行ユーザがメイングループ以外に、サブグループに所属している場合に
以下例のようにidコマンドの結果に差が出る事です。
例:
・teratermで、testユーザでidコマンドを実行した結果
uid=1001(test) gid=1005(test) group=1005(test),1001(test1),1002(test2),1003(test3),1004(test4)
・ジョブアレンジャーで、実行ユーザにtestを指定しidコマンドを実行した結果
uid=1001(test) gid=1005(test) group=1005(test)
このように同じユーザで、同じコマンドを実行しているにも関わらず、
なぜ差が出てしまうのでしょうか。
ご確認お願い致します。
保守サポート 担当 さんが7年以上前に更新
本件長らく回答しておりませんで大変に恐縮です。
遅ればせながら回答いたします。
JobArrangerジョブアイコンの実行ユーザー指定では指定ユーザのdefault groupを利用します。
そのため、指定した実行ユーザにサブグループがありましてもその情報は表示されません。
またサブグループに関する権限についても引き継がれません。
実行例1:
・実行ユーザー test2を指定
・実行スクリプト-->その結果
id --> uid=1003(test2) gid=1003(test2) 所属グループ=1003(test2),0(root) id test2 --> uid=1003(test2) gid=1003(test2) 所属グループ=1003(test2),1004(test3),1005(test4) ※id test2と明示したコマンドではサブグループは表示されます。
しかし下記で記述であれば、ジョブアイコンの実行スクリプト内でもサブグループでコマンド実行は可能です。
su -c '実行script' - 実行ユーザー
実行例2:
・実行ユーザー 指定無(root実行)
・実行スクリプト-->その結果
su -c 'id' - test2 --> uid=1003(test2) gid=1003(test2) 所属グループ=1003(test2),1004(test3),1005(test4)
同様にこの方法であればtouchでのファイル作成での権限も有効です。
速やかな返信のためにサポート契約を是非ご検討頂ければ幸甚です。
宜しくお願い致します。