Назад | Перейти на главную страницу

LDAP 389: автоматическое создание пользователей на клиентских машинах

Я установил сервер каталогов 389 на Centos 6. Аутентификация пользователей работает нормально, однако мне приходится создавать отдельных пользователей на каждой клиентской машине после создания пользователя на сервере каталогов.

Модуль pam_mkhomedir.so, кажется, создает домашние каталоги в случае, если пользователь уже присутствует в локальной системе.

Наконец-то я получил ответ и решение. Все очень просто. Подобное обсуждение уже велось давно.

Как я могу потребовать от определенной группы пользователей войти в систему через LDAP, а другим разрешить использовать LDAP или локальный вход?

Итак, вот фрагмент моего файла system-auth для всех, кто ищет то же самое.

account     sufficient    pam_succeed_if.so
account     sufficient    pam_sss.so

session     optional      pam_mkhomedir.so skel=/etc/skel umask=022

Настройте /etc/pam.d/system-auth и /etc/pam.d/password-auth, как показано ниже.

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

Чтобы домашний каталог создавался автоматически при входе пользователя в систему, вы можете использовать либо модуль pam_oddjob_mkhomedir, либо модуль pam_mkhomedir. Поскольку oddjob требует меньше разрешений и хорошо работает с SELinux, вы всегда должны использовать модуль pam_oddjob_mkhomedir. Если этот модуль не установлен, он возвращается к модулю pam_mkhomedir.

Если вы пытаетесь войти в систему с помощью ssh, вам также необходимо сделать это ниже.

Измените / etc / ssh / sshd_config, чтобы он содержал

"UsePam да"

# service sshd restart
# service oddjobd restart