Crie um grupo chamado ldaponly e coloque todos os seus usuários somente LDAP nele. Em seguida, na sua configuração do PAM, use o pam_succeed_if module pula o módulo pam_unix2 quando o usuário está no grupo ldaponly .
Eu configurei meu sistema para permitir o LDAP ou a senha local para login. Eu fiz isso adicionando "password pam_ldap.so suficiente" ao PAM e chamando "pam_unix2.so" depois.
No entanto, gostaria de exigir que um determinado grupo de usuários autenticasse somente no LDAP, impedindo o fallback do pam_unix2.so. Existe maneira de fazer isso?
Crie um grupo chamado ldaponly e coloque todos os seus usuários somente LDAP nele. Em seguida, na sua configuração do PAM, use o pam_succeed_if module pula o módulo pam_unix2 quando o usuário está no grupo ldaponly .
umm ... talvez isso seja muito simples, mas coloque os usuários em LDAP & não os coloque no seu arquivo de senha local?
No meu ambiente, apenas as contas root e service / daemon estão no arquivo passwd local, e somente as contas de login do usuário estão no LDAP - Funciona muito bem.
Eu me deparei com esse cenário antes com um servidor LDAP que eu configurei.
O melhor conselho que posso dar é oferecer o que funcionou para mim. Isso seria usar /etc/security/access.conf para permitir o acesso de apenas determinados usuários e grupos.
Por exemplo, aqui está uma entrada para access.conf negar acesso a todos, exceto root e usuários pertencentes ao Grupo1 e Grupo2, ao tentar fazer login localmente usando a interface de loopback 127.0.0.1:
- : ALL EXCEPT root Group1 Group2: 127.0.0.1
Você também pode precisar ativar o módulo pam_access.so em seus arquivos PAM.
A maneira mais fácil de pensar agora é definir as senhas locais dos usuários "somente LDAP" como algo completamente estranho e não informá-las. No entanto, uma vez que eles tenham feito login, eles poderão alterá-lo (se sua configuração do PAM permitir que eles o façam).
Uma maneira muito mais sofisticada seria escrever seu próprio plugin PAM (que aparentemente não é tão difícil de fazer) que poderia realizar uma pesquisa em uma lista "somente LDAP" e retornar true ou false. Isso pode ser usado nos arquivos de configuração do PAM para decidir a próxima etapa, ou seja, permitir login ou não.