好的,所以我使用Windows Server 2012作为域控制器。 我通过samba连接了两个Centos7客户端到域。
身份validation通过SSH按预期工作; 然而,当试图sudo,帕姆仍然要求密码。
一旦你提供适当的密码,一切工作正常,但我正在寻找一种方法,将避免前面提到的密码请求。
我一直在玩PAM,但没有太多的运气。
/etc/pam.d/sudo:
#%PAM-1.0 #auth include system-auth auth required pam_sss.so account include system-auth password include system-auth session optional pam_keyinit.so revoke session required pam_limits.so 将/etc/pam.d/system-auth:
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth [default=1 success=ok] pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_sss.so account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_sss.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session optional pam_oddjob_mkhomedir.so skel=/etc/skel umask=0022 session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_sss.so
目前这还没有实施。 我们(红帽IDM团队)正在考虑按照sudo的ksu(1)function来实现某些function,但是目前使用TGT对sudo进行身份validation是行不通的,对不起。
如果您使用的是商业版本,我会build议他们提交支持案例..