拒绝不在AD中的用户登录linux计算机;“域管理员”;团体?
所以我安装了一个运行8.04版本的Ubuntu服务器。我将其设置为使用类似的打开包使用Active Directory进行身份验证。该设置的一部分是为登录到机器sudo的域管理员用户提供访问权限拒绝不在AD中的用户登录linux计算机;“域管理员”;团体?,linux,ubuntu,active-directory,Linux,Ubuntu,Active Directory,所以我安装了一个运行8.04版本的Ubuntu服务器。我将其设置为使用类似的打开包使用Active Directory进行身份验证。该设置的一部分是为登录到机器sudo的域管理员用户提供访问权限 现在,我想拒绝所有域登录的登录权限,但“域管理员”组中的用户除外。本地用户仍然可以登录。有人知道如何做到这一点吗?在windows上,这是通过组策略实现的。Samba目前不支持使用组策略管理*nix客户机(Samba 4可能??) 您可以尝试允许“域管理员”完全控制计算机对象,并删除“所有人”的所有权限
现在,我想拒绝所有域登录的登录权限,但“域管理员”组中的用户除外。本地用户仍然可以登录。有人知道如何做到这一点吗?在windows上,这是通过组策略实现的。Samba目前不支持使用组策略管理*nix客户机(Samba 4可能??) 您可以尝试允许“域管理员”完全控制计算机对象,并删除“所有人”的所有权限,但我认为这不会阻止登录。我只是想知道,如果没有“允许验证”权限,可能会无意中阻止登录。我远不是一个广告专家,所以这只是一个猜测 [编辑]增编 您可以尝试使用/etc/password中的网络组语法。 您可以通过运行“id”来验证您所在组的全名。如果您的组名包含“\”或“”,则可能需要将其转义 在/etc/password文件的末尾添加一行
+@AdminGroup::::::/bin/bash
+@Everyone::::::/sbin/nologin
这是为nis网络组设计的,但值得一试。在3分钟内结束。。。2.一,
我无法忍受这样的问题(非编程)被关闭。我可以回答我自己的问题!Jim的思路似乎很有希望,但我尝试过,它看起来不像类似的开放LDAP身份验证使用了/etc/passwd文件中的任何内容 正确的方法是编辑/etc/security/pam_lwantity.conf并对以下部分进行注释和编辑:
# make successful authentication dependent on membership of one of
# the following SIDs/groups/users (comma-separated)
require_membership_of = MYDOMAIN\domain^admins
下面是一些可能有用的更多信息
Pete在linux上使用同样开放的软件包的唯一策略将与帐户/密码策略相关。像“本地登录”这样的策略在他们的企业产品中,但我正在寻找通过修改linux系统(有点像sudo的东西)来使用免费策略的方法。也许使用/etc/password的netgroups语法可以工作,我将把它添加到答案中。添加它不会导致所有域管理员都不允许登录吗?这可能有承诺,但它需要以另一种方式工作——比如任何人都不能登录,除非他们在sudo/domain admin组中。你说得对,我没想过。修复了它,但我仍然只在nis/ldap中尝试过