ADグループのユーザーがログインできるように指定する構成を作成しようとしています。すべてのADユーザーがログインするのを防ぐことはできません。私がこれをやっている間、/etc/pam.d/sshd/
そのような設定が合格することができますか/etc/pam.d/login
?これはより安全な選択ではありませんか?私もそれを嫌い、winbind
Kerberos + LDAPアプローチを好みますが、残念ながら今は切り替えることはできません。私はこれについてしばらく読んでいましたが、確実な方向性が見つからなかったので、助けてくれてありがとう。
これは現在 pam.d 構成ファイルです。
/etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_winbind.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_winbind.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_winbind.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
/etc/pam.d/login
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session optional pam_keyinit.so force revoke
session required pam_loginuid.so
session include system-auth
session optional pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open
/etc/pam.d/sshd
#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
account sufficient pam_succeed_if.so user ingroup DOMAIN\Group_1
account sufficient pam_succeed_if.so user ingroup DOMAIN\Group_2
account sufficient pam_succeed_if.so user ingroup DOMAIN\Group_3
password include system-auth
session optional pam_keyinit.so force revoke
session include system-auth
session required pam_loginuid.so
答え1
PAM Winbindはこのファイルにあります/etc/security/pam_winbind.conf
。
特定のグループのユーザーへのアクセスを制限するには、次の行を追加します。
require_membership_of = [SID],[SID],[SID]
[SID]
正しいADユーザーまたはグループSIDに置き換えてください。このコマンドを使用すると、どのユーザー/グループにどのSIDが割り当てられているかを確認できます。wbinfo -n [NAME]
[NAME]
指定したADユーザーまたはグループ名に置き換えます。
ただし、通常は従来のKerberos + LDAPアプローチを選択する必要があるため、winbind全体の状況は存在しないでください。
答え2
これは代替案ですが、Windows DCではUnix用のID管理をインストールできます。その後、ユーザーごとに右クリックしてUnixプロパティに移動し、ログインシェルを次/bin/shell
のように設定してログインできるかどうかを設定できます。/bin/bash
/bin/false
また、/etc/samba/smb.conf ファイルに次の行を追加する必要があります。
winbind nss info = rfc2307
誰かがこれが役に立つと思います!