以 root 身份登录且无 winbind 超时

Question

您不仅通常想要pam_unix首先这样做，而且当您启动任何会话时，pam 将使用枚举您所属的组initgroups(3)，这将遍历group中定义的所有后端/etc/nsswitch.conf。

造成这种行为的原因有几个，主要是关注点分离方面的技术限制，但简而言之，这允许您指定/etc/groupsLDAP 用户所属的位置wheel以允许其这样做sudo（随机示例）。

这导致root在具有远程目录服务器的主机上登录失败或非常缓慢的故事，即使用户是在本地定义的。这些故事是真实的，但最常见的原因是配置不正确。

如果您使用winbind，则可以定义不会通过查找其组的用户winbind。相应的选项是winbind initgroups blacklist中的 (全局) smb.conf。它于 2007 年通过http://git.samba.org/?p=samba.git;a=commitdiff;h=7399ab779d7100059475ed196e6e4435b2b33bbd

请注意，默认值包含root，因此您可能不需要覆盖它。

对于访客：

如果您使用nss_ldap，ldap.conf则提供类似的nss_initgroups_ignoreusers。请参阅nss_ldap(5)。

Answer 1

您不仅通常想要pam_unix首先这样做，而且当您启动任何会话时，pam 将使用枚举您所属的组initgroups(3)，这将遍历group中定义的所有后端/etc/nsswitch.conf。

造成这种行为的原因有几个，主要是关注点分离方面的技术限制，但简而言之，这允许您指定/etc/groupsLDAP 用户所属的位置wheel以允许其这样做sudo（随机示例）。

这导致root在具有远程目录服务器的主机上登录失败或非常缓慢的故事，即使用户是在本地定义的。这些故事是真实的，但最常见的原因是配置不正确。

如果您使用winbind，则可以定义不会通过查找其组的用户winbind。相应的选项是winbind initgroups blacklist中的 (全局) smb.conf。它于 2007 年通过http://git.samba.org/?p=samba.git;a=commitdiff;h=7399ab779d7100059475ed196e6e4435b2b33bbd

请注意，默认值包含root，因此您可能不需要覆盖它。

对于访客：

如果您使用nss_ldap，ldap.conf则提供类似的nss_initgroups_ignoreusers。请参阅nss_ldap(5)。

相关内容