Você geralmente não quer apenas pam_unix
, mas quando você inicia qualquer sessão, o pam enumera os grupos aos quais você pertence usando initgroups(3)
, que passará por todos os group
de backends definidos em /etc/nsswitch.conf
.
Existem algumas razões para esse comportamento, principalmente limitações técnicas relacionadas à separação de interesses, mas em resumo isso permite que você especifique em /etc/groups
que um usuário LDAP pertença a wheel
para permitir sudo
(aleatório exemplo).
Isso leva a histórias sobre root
login sendo interrompido ou muito lento em hosts com servidores de diretório remoto, mesmo quando o usuário é definido localmente. Essas histórias são verdadeiras, mas na maioria das vezes devido a configuração incorreta.
Se você usar winbind
, poderá definir usuários para os quais os grupos não serão procurados por meio de winbind
. A opção apropriada é winbind initgroups blacklist
(global) em smb.conf
. Foi introduzido em 2007 através do link
Note que o valor padrão contém root
, então você provavelmente não precisa sobrescrevê-lo.
Para visitantes:
Se você usa nss_ldap
, ldap.conf
oferece nss_initgroups_ignoreusers
semelhante. Veja nss_ldap(5)
.