Winbind PAM.D AD 그룹, CentOS 5만 허용됩니까?

Winbind PAM.D AD 그룹, CentOS 5만 허용됩니까?

AD 그룹의 사용자가 로그인할 수 있도록 지정하는 구성을 생성하려고 합니다. 모든 AD 사용자가 로그인하는 것을 막을 수는 없습니다. 내가 이 일을 하고 있는 동안 /etc/pam.d/sshd/그런 설정이 통과될 수 있을까 /etc/pam.d/login? 이것이 더 안전한 선택이 아닌가? 나는 또한 그것을 싫어 winbind하고 Kerberos+LDAP 접근 방식을 선호하지만 불행히도 지금은 전환할 수 없습니다. 나는 이것에 대해 한동안 읽었지만 확실한 방향을 찾지 못했기 때문에 도움을 주셔서 감사합니다.

이것은 현재 pam.d 구성 파일입니다.

/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

/etc/pam.d/login

#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    optional     pam_keyinit.so force revoke
session    required     pam_loginuid.so
session    include      system-auth
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open

/etc/pam.d/sshd

#%PAM-1.0
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_1
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_2
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_3
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so

답변1

PAM Winbind는 이 파일에 있습니다 /etc/security/pam_winbind.conf.

특정 그룹의 사용자에 대한 액세스를 제한하려면 다음 줄을 추가하세요. require_membership_of = [SID],[SID],[SID]

[SID]올바른 AD 사용자 또는 그룹 SID로 바꾸십시오 . 이 명령을 사용하면 어떤 사용자/그룹에 어떤 SID가 할당되어 있는지 확인할 수 있습니다.wbinfo -n [NAME]

[NAME]지정된 AD 사용자 또는 그룹 이름으로 바꿉니다 .

그러나 일반적으로 전통적인 Kerberos+LDAP 접근 방식을 선택해야 하므로 전체 winbind 상황이 존재해서는 안 됩니다.

답변2

이는 대안일 수 있지만 Windows DC에서는 Unix용 ID 관리를 설치할 수 있습니다. 그런 다음 각 사용자에 대해 마우스 오른쪽 버튼을 클릭하고 Unix 속성으로 이동하여 로그인 셸을 다음 /bin/shell과 같이 설정하여 로그인할 수 있는지 여부를 설정할 수 있습니다./bin/bash/bin/false

또한 /etc/samba/smb.conf 파일에 다음 줄을 추가해야 합니다.

winbind nss info = rfc2307

누군가가 이것이 유용하다고 생각하기를 바랍니다!

관련 정보