所以我设置了一个运行8.04版本的Ubuntu服务器。我使用these instructions使用同样打开的包将其设置为使用我们的Active Directory进行身份验证。部分设置是为登录到计算机sudo访问权限的域管理员用户提供。
现在我想拒绝所有域登录的登录权限,但“Domain Admins”组中的用户除外。本地用户仍应该能够登录。任何人都知道如何做到这一点?
答案 0 :(得分:1)
我回答我自己的问题! Jim的思路似乎很有希望,但我尝试了它,看起来并不像同样开放的LDAP身份验证使用/ etc / passwd文件中的任何内容。
我使用它的正确方法是编辑/etc/security/pam_lwidentity.conf并取消评论和编辑以下部分:
# make successful authentication dependent on membership of one of
# the following SIDs/groups/users (comma-separated)
require_membership_of = MYDOMAIN\domain^admins
答案 1 :(得分:0)
在Windows上,这是通过组策略完成的。 Samba目前没有任何支持使用组策略管理* nix客户端(Samba 4可能??)。
您可以尝试完全控制“Domain Admins”的计算机对象,并删除“everyone”的所有权限,但我认为这不会阻止登录。我只是想知道如果没有“允许验证”权限可能会无意中阻止登录。我远不是AD专家,所以这只是猜测。
Likewise does have a product to handle this, but I think it's only in their enterprise package
[编辑]附录
您可以尝试在/ etc / password中使用netgroup语法。 您可以通过运行“id”来验证您所在组的全名。如果你的组名有“\”或“”,你可能需要逃避它们。
在/ etc / password文件的末尾添加行
+@AdminGroup::::::/bin/bash
+@Everyone::::::/sbin/nologin
这是为nis netgroups设计的,但它值得一试。
答案 2 :(得分:0)
结束于3 ... 2 ... 1
当这样的问题(非编程)被关闭时,我无法忍受。
答案 3 :(得分:0)