Linux with winbind、ADが利用可能な間はローカルユーザーを無効にしますか?
RADIUS認証を使用するルーターとスイッチは、RADIUSサーバーが使用可能である限り、ローカルに構成されたユーザーのログインが無効になるように構成できます。 RADIUSサーバーが使用できなくなった場合、ローカルに構成されたユーザーとしてのログインを許可するようにフォールバックします。
Winbindを使用してActiveDirectoryユーザーを認証するLinuxマシンで同じ効果を達成することは可能ですか?適切なPAM構成で実行できると感じていますが、PAMの学習曲線はそれほど進んでいません...
はい、可能です。
基本的に、次の例のように、pam構成のpam_winbindの下にpam_unixがあることを確認する必要があります。
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so use_first_pass
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_console.so
また、nsswitchがローカルIDにフォールバックするように構成されていることを確認する必要があります。
passwd: winbind files
shadow: winbind files
group: winbind files
SambaのWebサイトに詳細なドキュメントがあります。
- http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html
- http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/pam.html
ただし、ハードタイムアウトを設定しないと、ログイン時間が長くなると問題が発生する可能性があります。また、そのような場合にうまくいく可能性のある他の代替案を調査することをお勧めします。