Нужна ли мне «Запрещенная репликация пароля RODC» на главном контроллере домена с использованием Samba Active Directory
Мы используем Samba Active Directory 2: 4.7.6 в Ubuntu 14.04.5 LT
У нас есть только один контроллер домена, и он не удаленный (он находится внутри контролируемого, подсеть без доступа к WAN).
Однако, как и по умолчанию, начиная с Windows AD 2008, все полномочные пользователи («администраторы предприятия», «администраторы домена», «издатели сертификатов» и т. Д.) Принадлежат к группе « Запрещено репликация паролей RODC ".
У меня два вопроса:
Поскольку это НЕ удаленный контроллер домена (это главный) и он НЕ доступен через WAN (он находится в изолированной подсети), можем ли мы безопасно удалить этих пользователей из " Denied RODC Password Replication »
(Возможно, это будет отдельный пост). При попытке войти на член домена Ubuntu 18 возникает ошибка ...
Ошибка:
lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "MyDomainAdminAccount"
Это из-за строки в / etc / pam .d / lightdm config ...
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
Я исправил проблему, изменив этот файл на ...
#auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
auth sufficient pam_succeed_if.so user ingroup [domain users]
auth sufficient pam_succeed_if.so user ingroup [domain admins]
... но я не знаю, связаны ли эти две проблемы.
Может ли кто-нибудь пролить свет на это?
Зависит от наличия контроллеров домена только для чтения. Если вы этого не сделаете, то членство в группе не имеет значения. Если вы это сделаете, удаление этих учетных записей из группы Denied RODC Password Replication побеждает главную цель создания RODC.
Глядя на документацию, я не думаю, что этот параметр связан с членством в группе Denied RODC Password Replication:
https://wiki.archlinux.org/index.php/LightDM#Enhibited_interactive_passwordless_login
«Вы также должны быть частью группы nopasswdlogin, чтобы иметь возможность входить в систему в интерактивном режиме без ввода пароля»