我有一个成功绑定到Active Directory的CentOS 5.4系统。 “networking广告testing”表示没关系。 我可以为AD用户运行“ID用户名”并查看他们的帐户。 但是,我无法通过SSH远程login。 / var / log / secure表示密码不正确,但我知道这是正确的。
我怀疑我的/etc/pam.d/sshd是不正确的。 它应该是什么样子?
/ etc / security中的任何内容都需要更改吗?
我相信这取决于你如何连接到域(winbind或ldap)。 鉴于“净广告testing”,我会假设你正在使用winbind。 在这种情况下,你会想
auth sufficient pam_winbind.so 在/etc/pam.d/sshd中。
你也需要
passwd: files winbind group: files winbind
在/etc/nsswitch.conf中
您可以在本地login域帐户吗?
我可以投入0.02美元的“同花开”吗? 它可以在http://www.powerbrokeropen.org/上免费获得,而且由于我已经实现了它,所以我发誓,它为我节省了比以往任何时候都多的时间。 我不能告诉足够多的人。
你基本上下载包,安装它,然后运行命令
domainjoin-cli join mydomain.com adminusername
您可以在/ etc / likewise-open /中编辑configuration,并设置诸如“使用默认域”之类的东西,并将主目录和默认shell更改为您的站点所需的任何内容,然后就结束了。 所有的身份validation完美。 PAM工作正常。 Samba和Apache auth都很容易。 这真的像黄油。
如果您在域上获得Linux机器时遇到问题,我无法推荐这么高的。
getent passwd是否返回AD帐户的列表?
检查你的/etc/pam.d/system-auth:
auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_winbind.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok password sufficient pam_winbind.so use_authtok password required pam_deny.so session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0077 session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so
还要validation在/etc/nsswitch.conf中将winbind添加到passwd,shadow和group。