Я успешно настроил LDAP и SSH. Также я добавил требование, чтобы пользователь был в группе под названием admin
. Это работает.
...
pam_groupdn cn=admin,ou=Groups,dc=example,dc=com
...
...default ubuntu values here...
...
auth required pam_ldap.so
account required pam_ldap.so
password required pam_ldap.so
session required pam_ldap.so
НО я хотел бы добавить исключение для локальных backup
пользователь в аварийном случае, когда LDAP недоступен. У этого пользователя есть sudo
и authorized_keys
. Как я могу этого добиться?
Сейчас я вижу только это сообщение об ошибке:
sshd[12345]: fatal: Access denied for user backup by PAM account configuration [preauth]
Спасибо нашим немецким друзьям из https://forum.ubuntuusers.de/topic/pam-so-konfigurieren-dass-lokale-user-nicht-am/. Решение такое:
# Allow local user or LDAP user from admin group
account sufficient pam_localuser.so
account required pam_ldap.so