Winbind PAM.D ADグループ、CentOS 5のみ許可されていますか?

Winbind PAM.D ADグループ、CentOS 5のみ許可されていますか?

ADグループのユーザーがログインできるように指定する構成を作成しようとしています。すべてのADユーザーがログインするのを防ぐことはできません。私がこれをやっている間、/etc/pam.d/sshd/そのような設定が合格することができますか/etc/pam.d/login?これはより安全な選択ではありませんか?私もそれを嫌い、winbindKerberos + LDAPアプローチを好みますが、残念ながら今は切り替えることはできません。私はこれについてしばらく読んでいましたが、確実な方向性が見つからなかったので、助けてくれてありがとう。

これは現在 pam.d 構成ファイルです。

/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

/etc/pam.d/login

#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    optional     pam_keyinit.so force revoke
session    required     pam_loginuid.so
session    include      system-auth
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open

/etc/pam.d/sshd

#%PAM-1.0
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_1
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_2
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_3
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so

答え1

PAM Winbindはこのファイルにあります/etc/security/pam_winbind.conf

特定のグループのユーザーへのアクセスを制限するには、次の行を追加します。 require_membership_of = [SID],[SID],[SID]

[SID]正しいADユーザーまたはグループSIDに置き換えてください。このコマンドを使用すると、どのユーザー/グループにどのSIDが割り当てられているかを確認できます。wbinfo -n [NAME]

[NAME]指定したADユーザーまたはグループ名に置き換えます。

ただし、通常は従来のKerberos + LDAPアプローチを選択する必要があるため、winbind全体の状況は存在しないでください。

答え2

これは代替案ですが、Windows DCではUnix用のID管理をインストールできます。その後、ユーザーごとに右クリックしてUnixプロパティに移動し、ログインシェルを次/bin/shellのように設定してログインできるかどうかを設定できます。/bin/bash/bin/false

また、/etc/samba/smb.conf ファイルに次の行を追加する必要があります。

winbind nss info = rfc2307

誰かがこれが役に立つと思います!

関連情報