我正在尝试设置一台启用 LDAP 身份验证和 root 帐户的 Linux 计算机。 LDAP 服务器没有问题,一切正常。
我想禁用本地用户,所以我尝试编辑 PAM。我尝试使用 pam-auth-update 并取消选中“Unix 身份验证”。本地用户被成功拒绝,root 帐户也被成功拒绝。
我现在正在pam.d文件中尝试不同的事情,但似乎我搞砸了很多次并且不知道我在做什么。
编辑/etc/pam.d/common-auth文件:
auth sufficient pam_rootok.so
我添加这一行后,就没有密码提示了,直接登录了。
auth pam_succeed_if.so uid = 0 quiet
我添加了这一行,但它什么也没做。我现在正在阅读 PAM 配置。谁能帮助我理解并解决我的问题?
答案1
您可以添加类似的内容(在文件的开头)以阻止本地用户(root 除外)登录。
auth [success=1 default=ignore] pam_succeed_if.so uid = 0 quiet
auth [success=die default=ignore] pam_localuser.so
/etc/passwd如果 root 和第二行阻止本地用户(在 中)登录,则第一行将跳过第二行。非本地用户不应受到影响。