可以configuration使用RADIUS身份validation的路由器和交换机,只要RADIUS服务器可用,就可以为本地configuration的用户禁用login。 如果RADIUS服务器不可用,它们将回退到允许以本地configuration的用户身份login。
使用winbind来authenticationActive Directory用户的Linux机器可以达到同样的效果吗? 我有一种感觉,可以用正确的PAMconfiguration来完成,但是我在PAM的学习曲线上并不是很远。
对的,这是可能的。
基本上你需要确保你的pamconfiguration文件中的pam_winbind的pam_unix如下例所示:
auth required /lib/security/pam_securetty.so auth sufficient /lib/security/pam_winbind.so auth sufficient /lib/security/pam_unix.so use_first_pass auth required /lib/security/pam_stack.so service=system-auth auth required /lib/security/pam_nologin.so account sufficient /lib/security/pam_winbind.so account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_stack.so service=system-auth session optional /lib/security/pam_console.so 您还需要确保将nsswitchconfiguration为回退到本地ID:
passwd: winbind files shadow: winbind files group: winbind files
有关于samba网站的详细文档:
但是:如果您不设置硬超时,您可能会遇到一些长login时间的问题。 我还build议研究在这种情况下可能更好的其他替代scheme。