我们在 Ubuntu 14.04.5 LT 上使用 Samba Active Directory 2:4.7.6
我们只有一个域控制器,并且它不是远程的(它位于受控的、非 WAN 访问的子网内)。
但是,自 Windows AD 2008 以来,所有权威用户(“企业管理员”、“域管理员”、“证书发布者”等)都默认属于该组“拒绝 RODC 密码复制“。
我有两个问题:
由于这不是远程域控制器(它是主域控制器),并且无法通过 WAN 访问(它位于隔离子网中) - 我们可以安全地从“拒绝 RODC 密码复制”中删除这些用户吗?
(这可能需要单独发帖)。尝试登录域中的 Ubuntu 18 成员时,登录失败并显示错误...
错误:
lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "MyDomainAdminAccount"
这是因为配置中的行/etc/pam.d/lightdm
...
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
我通过将此文件更改为......来纠正该问题。
#auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
auth sufficient pam_succeed_if.so user ingroup [domain users]
auth sufficient pam_succeed_if.so user ingroup [domain admins]
...但我不知道这两个问题是否相关。
有人可以解释一下吗?
答案1
取决于您是否拥有只读域控制器。如果没有,则组成员身份无关紧要。如果有,则从“拒绝的 RODC 密码复制”组中删除这些帐户会违背拥有 RODC 的主要目的。
查看文档,我认为该设置与拒绝 RODC 密码复制组成员身份无关:
https://wiki.archlinux.org/index.php/LightDM#Enabling_interactive_passwordless_login
“您还必须成为 nopasswdlogin 组的一部分,才能以交互方式登录而无需输入密码”