Ограничение пользователей LDAP от аутентификации без допустимой оболочки
Точно так же, как пользователи необходимо добавить, что компьютер возражает против политики, позволяющей RODC аутентифицировать их (ссылка). Самый легкий путь состоит в том, чтобы создать группу тех компьютерных объектов и добавить их к политике с, Позволяют. Также имейте в виду, что конфигурация Сайта может влиять, с каким DC станция свяжется.
Размещение файлов или compat перед ldap в /etc/nsswitch.conf является обычным на практике, но если у человека есть локальная учетная запись, она переопределит настройки LDAP.
Попробуйте следующее: getent passwd check62
Это покажет вам запись в базе данных passwd для этого пользователя из все источники. Если самая верхняя запись содержит / bin / bash вместо / bin / noshell , вам нужно будет либо изменить оболочку в базе данных, которую ваш сервер устанавливает в качестве приоритета, либо изменить порядок на сначала представьте LDAP. Последнее обычно не рекомендуется.
(Отказ от ответственности: если вы используете PADL nss_ldap вместо nss-pam-ldapd , размещение ldap первым является еще худшей идеей, поскольку поисковые запросы LDAP не отправляются демону, и каждый процесс должен иметь дело с тайм-аутами во время поиска NSS. Всегда проверяйте, как будет вести себя ваш сервер, когда сервер LDAP недоступен.)