所以我设置了一个运行 8.04 版本的 Ubuntu 服务器。我使用这些说明将其设置为使用同样打开的包向我们的 Active Directory 进行身份验证。该设置的一部分是为登录机器的域管理员用户提供 sudo 访问权限。
现在,我想拒绝所有域登录的登录权限,但“域管理员”组中的用户除外。本地用户应该仍然可以登录。任何人都知道如何做到这一点?
所以我设置了一个运行 8.04 版本的 Ubuntu 服务器。我使用这些说明将其设置为使用同样打开的包向我们的 Active Directory 进行身份验证。该设置的一部分是为登录机器的域管理员用户提供 sudo 访问权限。
现在,我想拒绝所有域登录的登录权限,但“域管理员”组中的用户除外。本地用户应该仍然可以登录。任何人都知道如何做到这一点?
我要回答我自己的问题!Jim 的思路似乎很有希望,但我对其进行了试验,它看起来不像同样开放的 LDAP 身份验证使用 /etc/passwd 文件中的任何内容。
我让它工作的正确方法是编辑 /etc/security/pam_lwidentity.conf 并取消注释并编辑以下部分:
# make successful authentication dependent on membership of one of
# the following SIDs/groups/users (comma-separated)
require_membership_of = MYDOMAIN\domain^admins
在 Windows 上,这是通过组策略完成的。Samba 目前不支持使用组策略管理 *nix 客户端(可能是 Samba 4??)。
您可以尝试允许完全控制“域管理员”的计算机对象,并删除“所有人”的所有权限,但我认为这不会阻止登录。我只是想知道如果没有“允许验证”权限可能会无意中阻止登录。我远不是广告专家,所以这只是一个猜测。
[编辑] 附录
您可以尝试使用 /etc/password 中的网络组语法。您可以通过运行“id”来验证您所在组的全名。如果您的组名有“\”或“”,您可能需要转义它们。
在 /etc/password 文件的末尾添加该行
+@AdminGroup::::::/bin/bash
+@Everyone::::::/sbin/nologin
这是为 nis 网络组设计的,但值得一试。
3 ... 2 ... 1 结束
当这样的问题(非编程)被关闭时,我无法忍受。