如果我有一个 Ubuntu 系统,使用 Kerberos 进行身份验证并使用 NIS 来获取信息,则除非我将 NIS 阴影映射的内容复制到 /etc/shadow,否则用户无法登录。他们会被立即拒绝。
如果我getent shadow使用未填充的 /etc/shadow 运行,我将看不到 NIS 阴影图的内容。
那么 IA 如何) 返回getent shadowNIS 映射的内容;或者 B) 让 PAM 不关心我没有 Kerberos/NIS 用户的影子信息?
答案1
答案是启用broken_shadowpam_unix 的功能。
在 中/etc/pam.d/common-account,找到 pam_unix 行并broken_shadow在其末尾添加:
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so broken_shadow
描述:
某些网络设置在加密密码字段中包含“x”,但没有影子信息。发生这种情况时,pam_unix 无法进行帐户管理,因为它无法读取此信息。'brokenshadow' 选项假定读取信息时出错意味着信息不存在,并允许用户登录。