Точно так же, как пользователи необходимо добавить, что компьютер возражает против политики, позволяющей RODC аутентифицировать их (ссылка). Самый легкий путь состоит в том, чтобы создать группу тех компьютерных объектов и добавить их к политике с, Позволяют. Также имейте в виду, что конфигурация Сайта может влиять, с каким DC станция свяжется.
Размещение файлов
или compat
перед ldap
в /etc/nsswitch.conf
является обычным на практике, но если у человека есть локальная учетная запись, она переопределит настройки LDAP.
Попробуйте следующее: getent passwd check62
Это покажет вам запись в базе данных passwd
для этого пользователя из все источники. Если самая верхняя запись содержит / bin / bash
вместо / bin / noshell
, вам нужно будет либо изменить оболочку в базе данных, которую ваш сервер устанавливает в качестве приоритета, либо изменить порядок на сначала представьте LDAP. Последнее обычно не рекомендуется.
(Отказ от ответственности: если вы используете PADL nss_ldap
вместо nss-pam-ldapd
, размещение ldap
первым является еще худшей идеей, поскольку поисковые запросы LDAP не отправляются демону, и каждый процесс должен иметь дело с тайм-аутами во время поиска NSS. Всегда проверяйте, как будет вести себя ваш сервер, когда сервер LDAP недоступен.)