Назад | Перейти на главную страницу

PAM с LDAP и добавить исключение для локального пользователя

Я успешно настроил LDAP и SSH. Также я добавил требование, чтобы пользователь был в группе под названием admin. Это работает.

/etc/ldap.conf

...
pam_groupdn cn=admin,ou=Groups,dc=example,dc=com
...

/etc/pam.d/sshd

...default ubuntu values here...
...
auth     required pam_ldap.so
account  required pam_ldap.so
password required pam_ldap.so
session  required pam_ldap.so

НО я хотел бы добавить исключение для локальных backup пользователь в аварийном случае, когда LDAP недоступен. У этого пользователя есть sudo и authorized_keys. Как я могу этого добиться?

Сейчас я вижу только это сообщение об ошибке:

sshd[12345]: fatal: Access denied for user backup by PAM account configuration [preauth]

Спасибо нашим немецким друзьям из https://forum.ubuntuusers.de/topic/pam-so-konfigurieren-dass-lokale-user-nicht-am/. Решение такое:

# Allow local user or LDAP user from admin group
account sufficient pam_localuser.so
account required   pam_ldap.so