Eu sei no meu sistema Gentoo, o arquivo /etc/pam.d/su vem com o seguinte comentário:
auth sufficient pam_wheel.so use_uid trust
Que permite que um usuário su para root sem uma senha, contanto que ele ou ela esteja no grupo wheel. Também tem um exemplo usando uma lista:
auth sufficient pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.nopass
Atualmente estou trabalhando com o openSuse 11.4 e juntei-o com sucesso a um domínio usando o Yast (que faz automaticamente todo o material winbind / kerberos / ad) e queria saber se havia uma maneira de modificar o / etc / pam. d / su no openSuse para fazer a mesma coisa se um usuário estiver em um grupo específico do AD. Eu tentei o seguinte para o meu /etc/pam.d/su config:
#%PAM-1.0
auth sufficient pam_rootok.so
auth include common-auth
auth sufficient pam_winbind.so require_membership_of=MYDOMAIN\LinuxAdmins
account sufficient pam_rootok.so
account include common-account
password include common-password
session include common-session
session optional pam_xauth.so
Mas obviamente isso não funciona. Isso é possível usando o módulo pam_winbind.so e, em caso afirmativo, como?
Se você conseguir que seu grupo AD seja apresentado ao sistema como um grupo unix, você poderá usar sudo . É bem adequado para dar uma ampla gama de permissões de root para diferentes usuários ou grupos.
O /etc/sudoers config para isso seria algo como isto:
%LinuxAdmins ALL = NOPASSWD: ALL
Tags samba pam active-directory opensuse