Linux com winbind, desativa usuários locais enquanto o AD está disponível?

3

Os roteadores e switches com autenticação RADIUS podem ser configurados de forma que o login seja desativado para usuários configurados localmente, desde que o servidor RADIUS esteja disponível. Se o servidor RADIUS ficar indisponível, eles voltarão a permitir login como um usuário configurado localmente.

É possível obter o mesmo efeito com máquinas Linux usando o winbind para autenticar usuários do Active Directory? Tenho a sensação de que isso poderia ser feito com a configuração correta do PAM, mas não estou muito adiantado na curva de aprendizado do PAM ...

    
por Salkin 10.06.2012 / 11:39

1 resposta

1

Sim, é possível.

Basicamente, você precisa ter certeza de que você tem pam_unix abaixo de pam_winbind em sua configuração de pam, como no exemplo a seguir:

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so

Você também precisa ter certeza de que o nsswitch está configurado para retornar aos IDs locais:

passwd:     winbind files
shadow:     winbind files
group:      winbind files

Existem documentos detalhados sobre o site do samba:

MAS: você pode enfrentar alguns problemas com longos tempos de login se não configurar tempos limite difíceis. Também recomendo pesquisar outras alternativas que possam funcionar melhor nesses casos.

    
por 10.06.2012 / 15:52