Winbind / AD: Usuários locais com nomes de usuários idênticos do AD

Question

Winbind / AD: Usuários locais com nomes de usuários idênticos do AD

#1 resposta do (1 votos)
#2 resposta do (0 votos)

3

Estamos nos preparando para adicionar o Winbind / Samba a alguns servidores CentOS. O Identity Management for UNIX está sendo executado em nosso DC e está testando bem até agora. Há um cenário com o qual estou tendo problemas e tenho certeza de que está resolvido dentro do /etc/pam.d/system-auth com intervalos de UID. Eu não posso me concentrar nas linhas específicas necessárias. Aqui está o cenário:

Implementamos três usuários locais via Puppet; eles devem poder fazer o login quando o DC estiver inativo. Eles precisam ser usuários puramente locais.
Os nomes de usuários locais para esses usuários são idênticos a seus correspondentes do AD (por exemplo, jsmith é o nome do usuário local do CentOS e jsmith também é o mesmo nome de usuário do AD do mesmo usuário)
Quando o jsmith efetua login, ele precisa procurar primeiro esse usuário localmente.
Os usuários locais geralmente são > O UID 500 e nossos usuários do AD / Winbind são > UID 10000.

networking active-directory linux winbind

por verbalicious 05.11.2010 / 23:30

2 respostas

Tags networking active-directory linux winbind

802.1x ou segurança da porta mac em comutadores SAN É necessário um EPO em cada rack

score 1 · Answer 1

Eu tenho um /etc/pam.d/system-auth que foi configurado com usuários locais para autenticar primeiro e depois voltar para o kerberos (pam_krb5.so). Eu vou fornecer aqui com pam_krb5.so substituído por pam_winbind.so para dar-lhe algo para começar. Isso foi remendado há alguns anos e, se bem me lembro, precisei de um pouco de refinamento para que funcionasse direito para nós.

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [authinfo_unavail=ignore default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so


password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_winbind.so

score 0 · Answer 2

Você pode resolver esse problema colocando em cache as credenciais do winbind. Em outras palavras, você tem apenas o AD UID, mas suas credenciais são armazenadas em cache para que ele ainda possa efetuar login mesmo quando o AD não estiver disponível.

Consulte o link para obter mais informações.