我正在尝试通过 FreeIPA 组成员身份将 FreeIPA 用户与本地组匹配。在测试 common-auth 的手动编辑时,它可以工作。但我正在尝试使用 pam-auth-update 生成文件,以便在某个时候升级某些东西后它不会中断。
我目前所做的:
- 添加了组映射,将属于 FreeIPA 组的用户添加
service-admin
到本地组service
。
sudo vi /etc/security/group.conf
*;*;%service-admin;Al0000-2400;service
- 创建一个 pam-config 文件。
sudo vi /usr/share/pam-configs/group
Name: Activate /etc/security/group.conf
Default: yes
Priority: 512
Auth-Type: Primary
Auth-Final:
[success=end default=ignore] pam_group.so nullok try_first_pass
Auth-Initial:
[success=end default=ignore] pam_group.so nullok
- 重新生成 common-auth 文件:
sudo pam-auth-update
但遗憾的是它没有添加该auth [success=3 default=ignore] pam_group.so nullok
行/etc/pam.d/common-auth
。
[...]
# here are the per-package modules (the "Primary" block)
auth [success=2 default=ignore] pam_unix.so nullok
auth [success=1 default=ignore] pam_sss.so use_first_pass
[...]
没有显示错误,所以我不确定如何调试。