Отказать в входе в систему Linux для пользователей, не входящих в группу AD «Domain Admins»?

Question

Итак, я настроил сервер Ubuntu под управлением версии 8.04. Я установил его для аутентификации в нашей Active Directory, используя пакет likewise-open, используя эти инструкции . Частью этой настройки было предоставление администраторам домена, которые входят в систему, доступа sudo.

Теперь я хотел бы отказать в правах входа для всех входов в домен, кроме тех пользователей, которые входят в группу «Администраторы домена». Локальные пользователи должны иметь возможность войти в систему. У кого-нибудь есть идеи, как этого добиться?

Answer 1

Я могу ответить на свой вопрос! Ход мыслей Джима казался многообещающим, но я экспериментировал с ним, и не похоже, что аналогично открытая аутентификация LDAP использует что-то из файла / etc / passwd.

Правильный способ заставить это работать - отредактировать /etc/security/pam_lwidentity.conf, откомментировать и отредактировать следующий раздел:

# make successful authentication dependent on membership of one of
# the following SIDs/groups/users (comma-separated)
require_membership_of = MYDOMAIN\domain^admins

Answer 2

Вот еще немного информации, которая может быть полезна,

Ubuntu - присоединение / вход в домены Windows

Пит

Answer 3

Закрытие в 3 ... 2 ... 1

Я терпеть не могу, когда такие вопросы (не программирование) закрываются.

Answer 4

В Windows это делается через групповую политику. В настоящее время Samba не поддерживает управление * nix-клиентами с помощью групповой политики (возможно, Samba 4 ??).

Вы можете попробовать разрешить полный контроль над объектом компьютера для «Администраторов домена» и отменить все разрешения для «всех», но я не думаю, что это помешает входу в систему. Мне просто интересно, может ли отсутствие разрешения «Разрешить аутентификацию» непреднамеренно заблокировать вход в систему. Я далеко не специалист по рекламе, так что это всего лишь предположение.

Точно так же есть продукт, чтобы справиться с этим, но я думаю, что это только в их корпоративном пакете .

[Изменить] Приложение

Вы можете попробовать использовать синтаксис сетевой группы в / etc / password. Вы можете проверить полное имя группы, в которую вы входите, запустив "id". Если в названии вашей группы есть "\" или "", вам может понадобиться их избежать.

В конце вашего файла / etc / password добавьте строку

+@AdminGroup::::::/bin/bash
+@Everyone::::::/sbin/nologin

Это было разработано для сетевых групп nis, но оно того стоит.