Аутентификация Linux через ADS — разрешение только определенных групп в PAM
Цена диска не обязательно коррелирует к надежности. На рынке потребительских товаров цена и надежность действительно не связаны вообще. Если Вы не любите тратить больше денег на свои диски, просто получаете одну из более дешевых опций. Heck, по перечисленным ценам, Вы могли, вероятно, получить дважды количество дисков для той же стоимости и иметь запчасти под рукой. Вы используете RAID для решения проблемы дублирования, поэтому получите диски, которые удовлетворят потребности производительности (которые, кажется, минимальны) и быть сделанным с ним. Если Вы действительно заинтересованы, покупаете пару отдельно оплачиваемых предметов так, чтобы 4 года с этого времени, когда модель прекращена, у Вас есть запчасть, если Вы разлагаетесь. На вашем месте я купил бы самые дешевые диски на 1 ТБ, которые я мог найти на Newegg... управляет, просто не приводят это к сбою часто, и даже если он делает, Вы создаете RAID-массив для решения для той проблемы.
У Вас может быть лучшая удача при обращении к группе SID.
Ищите SID для группы:
wbinfo -n "mygroup"
Затем набор require_membership_of использование SID (определенный от wbinfo)
require_membership_of=S-1-5-21-1757981276-1399067357-839522115-75638
В нашей установке это ограничивается следующей строкой в файле/etc/security/pam_lwidentity.conf:
require_membership_of = OURDOMAIN\domain^admins
В этой ситуации я обманул и использовал pam_access вместо того, чтобы ударить моей головой далее о pam_winbind.
Можете ли вы использовать порт глобального каталога вашего сервера AD? говорит по протоколу LDAP, вероятно, через порт 3268 (или 3269 для зашифрованных ldaps).
Я считаю, что проще, быстрее и намного надежнее использовать модули ldap auth & nsswitch, чем winbind, а также (как было предложено Handyman5 выше) используйте pam_access и отредактируйте /etc/security/access.conf, чтобы указать, кому разрешено входить в систему.
Заявление об ограничении ответственности: Вам, вероятно, не следует пытаться require_membership_of для root . Был ли случай, когда root не мог войти в систему? Вы рискуете не иметь возможности отремонтировать эту машину без перезагрузки в одиночный режим, если что-то пойдет не так (например, его сеть выйдет из строя).
Я все равно отвечу.
TL; DR: Если вы хотите добиться членства даже для локальные пользователи (включая root), замените первый достаточный на необходимый .
require_membership_of используется только в pam_winbind.c в ] pam_sm_chauthtok (участвует в группе управления , пароль ) и pam_sm_authenticate (участвует в группе управления auth ).
Итак, если у пользователя нет необходимого вам членства, шаг PAM, который завершится ошибкой, будет выглядеть так:
auth [...] pam_winbind.so [...]
У вас есть, но он помечен как достаточный :
auth sufficient pam_winbind.so
Итак, если он терпит неудачу, PAM продолжит прохождение своей цепочки. Следующая остановка:
auth sufficient pam_unix.so nullok try_first_pass
Это будет успешным, если getent passwd root вернет действительного пользователя, getent shadow root (выполняется как root ) вернет действительный зашифрованный пароль, и пароль, введенный пользователем, совпадает.
Я не буду рассказывать вам все остальное, но ничто другое не помешает root войти в систему.
Я бы отослал вас к ] pam.d (5) для получения дополнительной информации об общем механизме конфигурации PAM, pam_unix (8) & co для различных модулей.
auth [...] pam_winbind.so [...]
У вас есть один, но он помечен как достаточный :
auth sufficient pam_winbind.so
Таким образом, если он не удастся, PAM продолжит выполнение своей цепочки. Следующая остановка:
auth sufficient pam_unix.so nullok try_first_pass
Это будет успешным, если getent passwd root вернет действительного пользователя, getent shadow root (запущенный как root ) вернет действительный зашифрованный пароль, и пароль, введенный пользователем, совпадает.
Я не буду рассказывать вам все остальное, но ничто другое не помешает root войти в систему.
Я бы отослал вас к ] pam.d (5) для получения дополнительной информации об общем механизме конфигурации PAM, pam_unix (8) & co для различных модулей.
auth [...] pam_winbind.so [...]
У вас есть один, но он помечен как достаточный :
auth sufficient pam_winbind.so
Поэтому, если он не удастся, PAM продолжит выполнение своей цепочки. Следующая остановка:
auth sufficient pam_unix.so nullok try_first_pass
Это будет успешным, если getent passwd root вернет действительного пользователя, getent shadow root (запущенный как root ) вернет действительный зашифрованный пароль, и пароль, введенный пользователем, совпадает.
Я не буду рассказывать вам остальное, но ничто другое не помешает root войти в систему.
Я бы отослал вас к ] pam.d (5) для получения дополнительной информации об общем механизме конфигурации PAM, pam_unix (8) & co для различных модулей.
auth sufficient pam_unix.so nullok try_first_pass
Это будет успешным, если getent passwd root вернет действительного пользователя, getent shadow root (запущенный как root ) вернет действительный зашифрованный пароль, и пароль, введенный пользователем, совпадает.
Я не буду рассказывать вам все остальное, но ничто другое не помешает root войти в систему.
Я бы отослал вас к ] pam.d (5) для получения дополнительной информации об общем механизме конфигурации PAM, pam_unix (8) & co для различных модулей.
auth sufficient pam_unix.so nullok try_first_pass
Это будет успешным, если getent passwd root вернет действительного пользователя, getent shadow root (запущенный как root ) вернет действительный зашифрованный пароль, и пароль, введенный пользователем, совпадает.
Я не буду рассказывать вам все остальное, но ничто другое не помешает root войти в систему.
Я бы отослал вас к ] pam.d (5) для получения дополнительной информации об общем механизме конфигурации PAM, pam_unix (8) & co для различных модулей.