Estoy intentando configurar una máquina Linux con autenticación LDAP y cuenta raíz habilitada. No hay ningún problema con el servidor LDAP y todo funciona bien.
Quería deshabilitar a los usuarios locales, así que intenté editar PAM. Intenté usar pam-auth-update y desmarcar "Autenticación Unix". Se deniega con éxito a los usuarios locales, pero también a la cuenta raíz.
Ahora estoy intentando diferentes cosas con los pam.darchivos, pero parece que me equivoqué varias veces y no sé qué estoy haciendo.
Editando el /etc/pam.d/common-autharchivo:
auth sufficient pam_rootok.so
Después de agregar esta línea, no aparece ninguna solicitud de contraseña e inicia sesión directamente.
auth pam_succeed_if.so uid = 0 quiet
Agregué esta línea y no hace nada. Ahora estoy leyendo la configuración de PAM. ¿Alguien podría ayudarme a comprender y resolver mi problema?
Respuesta1
Puede agregar algo como esto (al principio del archivo) para evitar que los usuarios locales (excepto root) inicien sesión.
auth [success=1 default=ignore] pam_succeed_if.so uid = 0 quiet
auth [success=die default=ignore] pam_localuser.so
La primera línea omite la segunda línea si es root y la segunda impide que los usuarios locales (en /etc/passwd) inicien sesión. Los usuarios no locales no deberían verse afectados.