禁用本地用户 PAM,使用 LDAP 启用 root 用户

禁用本地用户 PAM,使用 LDAP 启用 root 用户

我正在尝试设置一台启用 LDAP 身份验证和 root 帐户的 Linux 计算机。 LDAP 服务器没有问题,一切正常。

我想禁用本地用户,所以我尝试编辑 PAM。我尝试使用 pam-auth-update 并取消选中“Unix 身份验证”。本地用户被成功拒绝,root 帐户也被成功拒绝。

我现在正在pam.d文件中尝试不同的事情,但似乎我搞砸了很多次并且不知道我在做什么。

编辑/etc/pam.d/common-auth文件:

auth        sufficient  pam_rootok.so

我添加这一行后,就没有密码提示了,直接登录了。

auth     pam_succeed_if.so    uid = 0 quiet

我添加了这一行,但它什么也没做。我现在正在阅读 PAM 配置。谁能帮助我理解并解决我的问题?

答案1

您可以添加类似的内容(在文件的开头)以阻止本地用户(root 除外)登录。

auth [success=1   default=ignore] pam_succeed_if.so uid = 0 quiet       
auth [success=die default=ignore] pam_localuser.so 

/etc/passwd如果 root 和第二行阻止本地用户(在 中)登录,则第一行将跳过第二行。非本地用户不应受到影响。

相关内容