답변:
Linux 시스템에서 그룹을 사용할 수 있다고 가정하면 /etc/security/access.conf
우분투, RedHat 배포판 및 포크 등을 편집 하는 것이 좋습니다 . 이것은 PAM 파일을 편집 할 필요가 없으며, 그것을하기에 좋은 표준 장소입니다. 일반적으로 파일에 예제가 있으며 주석 처리되었습니다.
(여기서 삼바 3에 대해 이야기하고 있습니다. 지금 삼바 4에 대한 경험이 없습니다.)
/etc/pam.d/xxx 파일을 편집 할 필요가 없습니다. pam_winbind.conf 는 원하는 파일이며 일반적으로 /etc/security/pam_winbind.conf에 있습니다.
pam_winbind 모듈의 구성 파일이며 CentOS / Redhat 및 Debian / Ubuntu 모두에서 작동합니다. pam_winbind.conf 의 매뉴얼 페이지 를 참조하십시오.
다음은 예제 파일입니다.
#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#
[global]
# turn on debugging
;debug = no
# turn on extended PAM state debugging
;debug_state = no
# request a cached login if possible
# (needs "winbind offline logon = yes" in smb.conf)
cached_login = yes
# authenticate using kerberos
;krb5_auth = no
# when using kerberos, request a "FILE" krb5 credential cache type
# (leave empty to just do krb5 authentication but not have a ticket
# afterwards)
;krb5_ccache_type =
# make successful authentication dependend on membership of one SID
# (can also take a name)
# require_membership_of = SID,SID,SID
require_membership_of = S-1-5-21-4255311587-2195296704-2687208041-1794
# password expiry warning period in days
;warn_pwd_expire = 14
# omit pam conversations
;silent = no
# create homedirectory on the fly
mkhomedir = yes
예, 정확하게 달성하려는 것에 따라 몇 가지 방법이 있습니다.
첫 번째 방법은 samba 구성을 통해 수행 할 수 있습니다. 이렇게하면 이러한 사용자 만 Samba에 연결할 수 있으며 다른 사용자는 여전히 다른 서비스 (ssh, 로컬 용어 등)를 통해 로그인 할 수 있습니다. 이를 통해 smb.conf의 [global] 섹션에 행을 추가하려고합니다.
valid users = @groupA @groupB
다른 방법은 PAM 규칙을 수정하는 것입니다. 여기서는 배포마다 약간의 차이가 있지만 일반적으로 서비스 당 PAM 규칙과 일반적인 규칙이 있다고 가정하면 가장 적합한 것을 결정할 수 있습니다. pam_require 모듈을 사용하여 계정 제한을 추가하려고합니다. 내 랩탑 (Fedora 13)의 예는 /etc/pam.d/system-auth의 계정 섹션을 다음과 같이 수정하는 것입니다.
account required pam_unix.so
account required pam_require.so @groupA @groupB
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
관리를 단순화하기 위해이 서버에 로그인 할 수있는 사용자를 추적하기 위해 AD에서 새 그룹을 만들 수 있습니다.
AD 인증을 통해 하나의 AD_USER 또는 AD_GROUP만이 Linux 상자에 ssh 로그인하도록했습니다.
세부 사항은 다음과 같습니다. (7 및 8 단계에주의하십시오)