Вы или кто-то еще можете совершить ошибку на своей установке сервера один день, брандмауэр затем дает Вам 2-й шанс остановки кого-то вход. Мы не прекрасны, мы совершаем ошибки, и поэтому немного "ненужной" страховки может стоить.
(Попытайтесь не выполнить свой брандмауэр на той же ОС как Ваши серверы, как иначе единственная ошибка в ОС.... Я полагаю, что все версии Unix та же ОС, как у них есть так много общее),
Нет, это невозможно сделать только с PAM.
PAM - это библиотека для аутентификации, авторизации и связанных задач учета. Это не библиотека низкого уровня; если программа не включает явные вызовы PAM, она бездействует.
Поиск uid и gid направляется через систему, называемую NSS
(переключатель службы имен). Это настраивается через /etc/nsswitch.conf
. Если вы не предоставляете библиотеку для NSS для взаимодействия с LDAP, библиотеки C низкого уровня не могут выполнять поиск по ней.
Можно использовать другую библиотеку NSS для LDAP, которая не выполняет поиск. Я полагаюсь на nslcd
(так работала старая библиотека LDAP, поставляемая PADL), но это почти наверняка плохая идея. Без демона, работающего в фоновом режиме, каждый вызов к NSS должен открывать новое соединение с сервером LDAP и немедленно освобождать его. Это чрезвычайно расточительно и делает невозможным отслеживание состояния удаленного сервера библиотеками, т.е. каждый поиск NSS должен индивидуально отключаться во время сбоя сети.
Если вы используете redhat или производный дистрибутив, просто используйте утилиту authconfig.
Не уверен, что это доступно в дистрибутивах, производных от Debian / deb (подозреваю, что нет).
Если вам нужна дополнительная информация, вам, вероятно, придется указать, какой дистрибутив вы используете.