2

そこで、8.04 リリースを実行する Ubuntu サーバーをセットアップしました。これらの手順を使用して、同様に開くパッケージを使用して、Active Directory で認証するようにセットアップしました。そのセットアップの一部は、マシンにログインする Domain Admin ユーザーに sudo アクセスを許可することでした。

ここで、「ドメイン管理者」グループに属するユーザーを除くすべてのドメイン ログインのログイン権限を拒否したいと考えています。ローカル ユーザーは引き続きログインできるはずです。誰でもこれを達成する方法を知っていますか?

4

4 に答える 4

1

私は自分の質問に答えることができます!Jim の一連の考えは有望に思えましたが、私はそれを試してみましたが、同様にオープンな LDAP 認証が /etc/passwd ファイルから何かを使用しているようには見えません。

これを機能させる正しい方法は、/etc/security/pam_lwidentity.conf を編集し、次のセクションのコメントを外して編集することでした。

# make successful authentication dependent on membership of one of
# the following SIDs/groups/users (comma-separated)
require_membership_of = MYDOMAIN\domain^admins
于 2008-11-13T22:01:46.817 に答える
0

3で閉じる...2... 1

このような(プログラミング以外の)質問が閉じられると、私は我慢できません。

于 2008-11-13T18:52:00.850 に答える
0

役立つかもしれないその他の情報を次に示します。

Ubuntu - Windows ドメインへの参加/ログイン

ピート

于 2011-01-28T09:47:16.737 に答える
0

On windows, this is done through group policy. Samba currently doesn't have any support for managing *nix clients with group policy (Samba 4 maybe??).

You can try allowing full control of the computer object for "Domain Admins", and removing all of the permissions for "everyone", but I don't think that will prevent login. I'm just wondering if not having the "Allowed to Authenticate" permission may inadvertently block logins. I'm far from being an AD expert, so this is just a guess.

Likewise does have a product to handle this, but I think it's only in their enterprise package.

[Edit] addendum

You can try using the netgroup syntax in /etc/password. You can verify the full name of the group your in by running "id". If your groupname has "\" or " " you may need to escape them.

At the end of your /etc/password file add the line

+@AdminGroup::::::/bin/bash
+@Everyone::::::/sbin/nologin

This was designed for nis netgroups, but it's worth a shot.

于 2008-11-13T18:26:48.717 に答える