Estou tentando configurar uma máquina Linux com autenticação LDAP e conta root habilitada. Não há nenhum problema com o servidor LDAP e tudo funciona bem.
Eu queria desabilitar os usuários locais, então tentei editar o PAM. Tentei usar pam-auth-update e desmarcar a "autenticação Unix". Os usuários locais foram negados com sucesso, mas a conta root também.
Agora estou tentando coisas diferentes nos pam.darquivos, mas parece que estraguei tudo várias vezes e não sei o que estou fazendo.
Editando o /etc/pam.d/common-autharquivo:
auth sufficient pam_rootok.so
Depois de adicionar esta linha, não há solicitação de senha e ela efetua login diretamente.
auth pam_succeed_if.so uid = 0 quiet
Eu adicionei esta linha e não faz nada. Agora estou lendo a configuração do PAM. Alguém poderia me ajudar a entender e resolver meu problema?
Responder1
Você pode adicionar algo assim (no início do arquivo) para evitar que usuários locais (exceto root) façam login.
auth [success=1 default=ignore] pam_succeed_if.so uid = 0 quiet
auth [success=die default=ignore] pam_localuser.so
A primeira linha ignora a segunda linha se for root e a segunda impede que usuários locais (in /etc/passwd) façam login. Os usuários não locais não devem ser afetados.