“getent group”和“getent group<groupname>”之间的不一致性--为什么？

Question

问题

怎么可能出现以下情况？

$ getent group | grep docker
$ getent group docker
docker:x:600:

请注意，第一个调用不返回任何内容，而第二个调用则返回任何内容。

grpck不报告任何问题。

一些背景

这是在我从其他人那里继承的CentOS 7.6VM上，所以我不确定它的配置可能与CentOS默认值有什么不同。据我所知，VM以某种方式连接到LDAP (但我对这个…不太熟悉)。

实际上，我想知道这个docker组是在哪里定义的。至少它既不在/etc/group里，也不在/etc/gshadow里。

按照评论中的要求：

$ grep ^group /etc/nsswitch.conf
group:      files sss hesiod

Answer 1

@jeff的评论使我走上了正确的道路：docker组在Hesiod数据库中定义：

$ hesinfo docker group
docker:x:600:

正如@jeff和@stephen进一步指出的那样，看来Hesiod似乎不允许列出所有组(因此getent group不返回它们)，但是允许逐个查询它们(因此getent group docker返回组)。