带有 winbind 的 Linux，在 AD 可用时禁用本地用户？

Question

对的，这是可能的。

基本上，您需要确保您的 pam 配置中的 pam_winbind 下方有 pam_unix，如下例所示：

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so

您还需要确保 nsswitch 已配置为回退到本地 ID：

passwd:     winbind files
shadow:     winbind files
group:      winbind files

samba网站上有详细的文档：

但是：如果您不设置硬超时，您可能会遇到登录时间过长的问题。我还建议您研究其他可能在这种情况下效果更好的替代方案。

Answer 1

对的，这是可能的。

基本上，您需要确保您的 pam 配置中的 pam_winbind 下方有 pam_unix，如下例所示：

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so

您还需要确保 nsswitch 已配置为回退到本地 ID：

passwd:     winbind files
shadow:     winbind files
group:      winbind files

samba网站上有详细的文档：

但是：如果您不设置硬超时，您可能会遇到登录时间过长的问题。我还建议您研究其他可能在这种情况下效果更好的替代方案。

带有 winbind 的 Linux，在 AD 可用时禁用本地用户？

答案1

相关内容