Winbind / AD:同じADユーザー名を持つローカルユーザー
Winbind/SambaをいくつかのCentOSサーバーに追加する準備をしています。 UNIX用のIdentityManagementはDCで実行されており、これまでのところ十分にテストされています。私が問題を抱えているシナリオが1つあり、それはUID範囲を使用して/etc/pam.d/system-auth内で解決されると確信しています。必要な特定の行に焦点を合わせることができません。シナリオは次のとおりです。
- Puppetを介して3人のローカルユーザーをデプロイします。 DCがダウンしているときにログインできる必要があります。純粋にローカルユーザーである必要があります。
- これらのユーザーのローカルユーザー名は、対応するADユーザーと同じです(たとえば、jsmithはCentOSローカルユーザーの名前であり、jsmithも同じユーザーのADユーザー名です)
- Jsmithがログインするとき、最初にローカルでそのユーザーを探す必要があります。
- ローカルユーザーは通常> UID 500であり、AD/Winbindユーザーは> UID10000です。
最初に認証し、次にkerberos(pam_krb5.so)にフォールバックするようにローカルユーザーでセットアップされた/etc/pam.d/system-authがあります。ここでは、pam_krb5.soをpam_winbind.soに置き換えて提供し、最初に何かを提供します。これは数年前に一緒に石畳にされました、そして私が思い出すようにそれが私たちのために正しく働くようにするために少し洗練を要しました。
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [authinfo_unavail=ignore default=bad success=ok user_unknown=ignore] pam_winbind.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_winbind.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_winbind.so
Winbind資格情報をキャッシュすることで、この問題を解決できる場合があります。つまり、AD UIDしかありませんが、その資格情報はキャッシュされているため、ADが使用できない場合でもログインできます。
詳細については、 http://wiki.samba.org/index.php/PAM_Offline_Authentication を参照してください。