我知道在我的 Gentoo 系统上,/etc/pam.d/su 文件带有以下注释:
auth sufficient pam_wheel.so use_uid trust
只要用户在wheel组中,它就允许用户在没有密码的情况下su到root。它还有一个使用列表的示例:
auth sufficient pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.nopass
我目前正在使用 openSuse 11.4,并使用 Yast(它自动执行所有 winbind/kerberos/ad 操作)成功将其加入域,并且想知道是否有办法修改 /etc/pam.d/su如果用户位于特定的 AD 组中,则在 openSuse 中执行相同的操作。我为我的 /etc/pam.d/su 配置尝试了以下操作:
#%PAM-1.0
auth sufficient pam_rootok.so
auth include common-auth
auth sufficient pam_winbind.so require_membership_of=MYDOMAIN\\LinuxAdmins
account sufficient pam_rootok.so
account include common-account
password include common-password
session include common-session
session optional pam_xauth.so
但显然这行不通。使用 pam_winbind.so 模块是否可以实现这一点?如果可以,如何实现?
答案1
如果您可以将 AD 组作为 unix 组呈现给系统,则可以使用sudo。它非常适合向不同的用户或组授予广泛的 root 权限。
其配置/etc/sudoers如下所示:
%LinuxAdmins ALL = NOPASSWD: ALL