web-dev-qa-db-ja.com

Linux with winbind、ADが利用可能な間はローカルユーザーを無効にしますか?

RADIUS認証を使用するルーターとスイッチは、RADIUSサーバーが使用可能である限り、ローカルに構成されたユーザーのログインが無効になるように構成できます。 RADIUSサーバーが使用できなくなった場合、ローカルに構成されたユーザーとしてのログインを許可するようにフォールバックします。

Winbindを使用してActiveDirectoryユーザーを認証するLinuxマシンで同じ効果を達成することは可能ですか?適切なPAM構成で実行できると感じていますが、PAMの学習曲線はそれほど進んでいません...

3
Salkin

はい、可能です。

基本的に、次の例のように、pam構成のpam_winbindの下にpam_unixがあることを確認する必要があります。

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so

また、nsswitchがローカルIDにフォールバックするように構成されていることを確認する必要があります。

passwd:     winbind files
shadow:     winbind files
group:      winbind files

SambaのWebサイトに詳細なドキュメントがあります。

ただし、ハードタイムアウトを設定しないと、ログイン時間が長くなると問題が発生する可能性があります。また、そのような場合にうまくいく可能性のある他の代替案を調査することをお勧めします。

1
rvs