winbindタイムアウトなしでrootとしてログオン
Linuxボックスを設定して、Active Directoryドメインコントローラーがダウンした場合でも、タイムアウトや遅延なしにrootとしてログインできるようにするにはどうすればよいですか?
そこにあるほとんどのドキュメントの例に従って、pam_winbind.so構成のpam_unix.soの前に/etc/pam.dをリストしました。これが問題の原因だと思います。順序を変更し、おそらく/etc/pam.dまたはpam_localuser(uidが500未満かどうかを確認するため)を追加する代替のpam_succeed_ifセットアップを見たのを覚えていますが、現在、詳細を見つけることができません。 (そして、私はPAMの専門家ではなく、自分で堅牢な構成をすばやく簡単に思い付くことができません)。
Active Directoryが利用できない場合にタイムアウトや遅延を回避するために、Winbindを使用したPAMの推奨セットアップは何ですか?
通常、最初に_pam_unix_が必要なだけでなく、セッションを起動すると、pamはinitgroups(3)を使用して所属するグループを列挙し、すべてのgroupバックエンドを通過します。 _/etc/nsswitch.conf_で定義されています。
この動作にはいくつかの理由がありますが、主に関心の分離に関する技術的な制限がありますが、要するに、LDAPユーザーがwheelに属していることを_/etc/groups_で指定して、Sudo(ランダムな例)。
これにより、ユーザーがローカルで定義されている場合でも、リモートディレクトリサーバーを備えたホストでrootログインが壊れたり非常に遅くなったりするという話があります。これらの話は真実ですが、ほとんどの場合、構成が正しくないことが原因です。
winbindを使用する場合、winbindを介してグループが検索されないユーザーを定義できます。適切なオプションは、_winbind initgroups blacklist_の_smb.conf_(グローバル)です。 2007年に http://git.samba.org/?p=samba.git;a=commitdiff;h=7399ab779d7100059475ed196e6e4435b2b33bbd を通じて導入されました。
デフォルト値にはrootが含まれているため、おそらく上書きする必要はありません。
訪問者の場合:
_nss_ldap_を使用する場合、_ldap.conf_は同様の_nss_initgroups_ignoreusers_を提供します。 nss_ldap(5)を参照してください。