Я пытаюсь настроить машину Linux с аутентификацией LDAP и включенной учетной записью root. С сервером LDAP проблем нет, все работает отлично.
Я хотел отключить локальных пользователей, поэтому я попытался отредактировать PAM. Я попытался использовать pam-auth-update и снять галочку с «Unix authentication». Локальные пользователи успешно отклоняются, но и учетная запись root тоже.
Сейчас я пробую разные вещи с pam.dфайлами, но, похоже, я много раз облажался и не знаю, что делаю.
Редактирование /etc/pam.d/common-authфайла:
auth sufficient pam_rootok.so
После добавления этой строки запрос на ввод пароля не появляется, и вход в систему происходит напрямую.
auth pam_succeed_if.so uid = 0 quiet
Я добавил эту строку, но она ничего не делает. Сейчас я читаю конфигурацию PAM. Может ли кто-нибудь помочь мне понять и решить мою проблему?
решение1
Вы можете добавить что-то вроде этого (в начале файла), чтобы запретить локальным пользователям (кроме root) входить в систему.
auth [success=1 default=ignore] pam_succeed_if.so uid = 0 quiet
auth [success=die default=ignore] pam_localuser.so
Первая строка пропускает вторую строку, если root, а вторая запрещает локальным пользователям (в /etc/passwd) входить в систему. Нелокальные пользователи не должны быть затронуты.