Aviso: Você provavelmente não deve tentar require_membership_of
para root
. Há algum caso em que root
não consiga fazer o login? Você corre o risco de não conseguir consertar essa máquina sem reinicializar no modo único se algo der errado (como se a rede estivesse inoperante).
Eu respondo mesmo assim.
TL; DR: Se você quiser impor a associação mesmo para usuários locais (raiz incluída), substitua o primeiro sufficient
por requisite
.
require_membership_of
é usado somente em pam_winbind.c
em pam_sm_chauthtok
(envolvido no grupo de gerenciamento password
) e pam_sm_authenticate
(envolvido no grupo de gerenciamento auth
).
Portanto, se um usuário não tiver a associação necessária, a etapa do PAM que falhará será:
auth [...] pam_winbind.so [...]
Você tem um, mas está marcado como sufficient
:
auth sufficient pam_winbind.so
Portanto, se falhar, o PAM continuará passando por sua cadeia. Próxima parada:
auth sufficient pam_unix.so nullok try_first_pass
Este será bem-sucedido, se getent passwd root
retornar um usuário válido, getent shadow root
(executado como root
) retornará uma senha criptografada válida e a senha digitada pelo usuário corresponder.
Não mostrarei o resto, mas nada impedirá que root
faça o login.
Gostaria de me referir a pam.d(5)
para obter mais informações sobre o mecanismo geral de configuração do PAM, pam_unix(8)
& co para os vários módulos.