我们正在为用户群准备 12.04 LTS,并对登录屏幕进行了一些基本配置(禁用访客帐户、删除用户列表等)。但是,我注意到的一件事是,一旦用户在登录屏幕(KRB5)上通过了身份验证,用户就不再需要输入密码。事实上,即使在重新启动后,如果用户之前已经通过了身份验证,他们所要做的就是输入用户名,然后就可以登录,无需其他提示。
显然,这是企业级的重大安全风险。如果您需要任何其他信息,请告诉我。任何建议都将不胜感激!
感谢您的考虑,但我们意识到这是 GID 冲突。我们有一个 GID 为 112 的 LDAP 组,它恰好是 nopasswdlogin 组的 GID,至少在 Precise 中是这样。我们将把该 LDAP 组迁移到另一个 GID。如果其他人偶然看到这种行为,这只是一个参考。我还要几个小时才能关闭它。
答案1
我们意识到这是 GID 冲突。我们有一个 GID 为 112 的 LDAP 组,它恰好是 nopasswdlogin 组的 GID,至少在 Precise 中是这样。我们将把该 LDAP 组迁移到另一个 GID。如果其他人偶然看到这种行为,这只是一个参考信息。我还要几个小时才能关闭它。