web-dev-qa-db-ja.com

Winbind / AD:同じADユーザー名を持つローカルユーザー

Winbind/SambaをいくつかのCentOSサーバーに追加する準備をしています。 UNIX用のIdentityManagementはDCで実行されており、これまでのところ十分にテストされています。私が問題を抱えているシナリオが1つあり、それはUID範囲を使用して/etc/pam.d/system-auth内で解決されると確信しています。必要な特定の行に焦点を合わせることができません。シナリオは次のとおりです。

  • Puppetを介して3人のローカルユーザーをデプロイします。 DCがダウンしているときにログインできる必要があります。純粋にローカルユーザーである必要があります。
  • これらのユーザーのローカルユーザー名は、対応するADユーザーと同じです(たとえば、jsmithはCentOSローカルユーザーの名前であり、jsmithも同じユーザーのADユーザー名です)
  • Jsmithがログインするとき、最初にローカルでそのユーザーを探す必要があります。
  • ローカルユーザーは通常> UID 500であり、AD/Winbindユーザーは> UID10000です。
3
verbalicious

最初に認証し、次にkerberos(pam_krb5.so)にフォールバックするようにローカルユーザーでセットアップされた/etc/pam.d/system-authがあります。ここでは、pam_krb5.soをpam_winbind.soに置き換えて提供し、最初に何かを提供します。これは数年前に一緒に石畳にされました、そして私が思い出すようにそれが私たちのために正しく働くようにするために少し洗練を要しました。

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [authinfo_unavail=ignore default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so


password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_winbind.so
1
Neil Neely

Winbind資格情報をキャッシュすることで、この問題を解決できる場合があります。つまり、AD UIDしかありませんが、その資格情報はキャッシュされているため、ADが使用できない場合でもログインできます。

詳細については、 http://wiki.samba.org/index.php/PAM_Offline_Authentication を参照してください。

0
Handyman5