Linuxボックスを設定して、Active Directoryドメインコントローラーがダウンした場合でも、タイムアウトや遅延なしにrootとしてログインできるようにするにはどうすればよいですか?
そこにあるほとんどのドキュメントの例に従って、pam_winbind.so
構成のpam_unix.so
の前に/etc/pam.d
をリストしました。これが問題の原因だと思います。順序を変更し、おそらく/etc/pam.d
またはpam_localuser
(uidが500未満かどうかを確認するため)を追加する代替のpam_succeed_if
セットアップを見たのを覚えていますが、現在、詳細を見つけることができません。 (そして、私はPAMの専門家ではなく、自分で堅牢な構成をすばやく簡単に思い付くことができません)。
Active Directoryが利用できない場合にタイムアウトや遅延を回避するために、Winbindを使用したPAMの推奨セットアップは何ですか?
通常、最初に_pam_unix
_が必要なだけでなく、セッションを起動すると、pamはinitgroups(3)
を使用して所属するグループを列挙し、すべてのgroup
バックエンドを通過します。 _/etc/nsswitch.conf
_で定義されています。
この動作にはいくつかの理由がありますが、主に関心の分離に関する技術的な制限がありますが、要するに、LDAPユーザーがwheel
に属していることを_/etc/groups
_で指定して、Sudo
(ランダムな例)。
これにより、ユーザーがローカルで定義されている場合でも、リモートディレクトリサーバーを備えたホストでroot
ログインが壊れたり非常に遅くなったりするという話があります。これらの話は真実ですが、ほとんどの場合、構成が正しくないことが原因です。
winbind
を使用する場合、winbind
を介してグループが検索されないユーザーを定義できます。適切なオプションは、_winbind initgroups blacklist
_の_smb.conf
_(グローバル)です。 2007年に http://git.samba.org/?p=samba.git;a=commitdiff;h=7399ab779d7100059475ed196e6e4435b2b33bbd を通じて導入されました。
デフォルト値にはroot
が含まれているため、おそらく上書きする必要はありません。
訪問者の場合:
_nss_ldap
_を使用する場合、_ldap.conf
_は同様の_nss_initgroups_ignoreusers
_を提供します。 nss_ldap(5)
を参照してください。