如何设置我的Linux机器,以便在Active Directory域控制器closures的情况下,仍然可以以超级用户身份login,而不会有任何超时或延迟?
以下列出大部分文档的示例,我已经在/etc/pam.dconfiguration中的pam_unix.so之前列出了pam_winbind.so 。 我相信这是问题的原因。 我记得看到备用/etc/pam.d设置,改变顺序,并可能添加pam_localuser或pam_succeed_if (看是否小于500),但我现在找不到任何细节(我还不够的PAM专家,可以快速,轻松地自行提供强大的configuration)。
如果Active Directory不可用,build议使用Winbind的PAM以避免超时和延迟?
您不仅首先需要pam_unix ,但是当您启动任何会话时,pam将使用initgroups(3)枚举您所属的组,这将通过/etc/nsswitch.conf定义的所有group后端。
这种行为有几个原因,主要是围绕分离问题的技术限制,但是总而言之,这允许您在/etc/groups中指定LDAP用户属于wheel以允许其sudo (随机示例)。
这会导致有关使用远程目录服务器的主机上的rootlogin被破坏或非常慢的故事,即使用户是在本地定义的。 这些故事是真实的,但最常见的是由于不正确的configuration。
如果您使用winbind ,您可以定义用户不会通过winbind查找哪些组。 适当的选项是smb.conf winbind initgroups blacklist (全局)。 它于2007年通过http://git.samba.org/?p=samba.git;a=commitdiff;h=7399ab779d7100059475ed196e6e4435b2b33bbd
请注意,默认值包含root ,所以你可能不需要覆盖它。
对于访客:
如果你使用nss_ldap , ldap.conf提供了一个类似的nss_initgroups_ignoreusers 。 见nss_ldap(5) 。