يمكن تكوين أجهزة التوجيه والمحولات باستخدام مصادقة RADIUS بحيث يتم تعطيل تسجيل الدخول للمستخدمين الذين تم تكوينهم محليًا طالما أن خادم RADIUS متاح. إذا أصبح خادم RADIUS غير متاح ، فسيعودون إلى السماح بتسجيل الدخول كمستخدم تم تكوينه محليًا.

هل من الممكن تحقيق نفس التأثير مع أجهزة Linux باستخدام winbind لمصادقة مستخدمي Active Directory؟ لدي شعور بأنه يمكن القيام بذلك باستخدام تكوين PAM الصحيح ، لكنني لست بعيدًا جدًا عن منحنى التعلم PAM ...

answer

نعم هذا ممكن.

ستحتاج في الأساس إلى التأكد من أن لديك pam_unix أدناه pam_winbind في تهيئة pam كما في المثال التالي:

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so

ستحتاج أيضًا إلى التأكد من تكوين nsswitch للرجوع إلى المعرفات المحلية:

passwd:     winbind files
shadow:     winbind files
group:      winbind files

هناك مستندات مفصلة على موقع سامبا:

ولكن: قد تواجه بعض المشاكل مع أوقات تسجيل الدخول الطويلة إذا لم تقم بإعداد مهلات صعبة. أوصي أيضًا بالبحث عن بدائل أخرى قد تعمل بشكل أفضل في مثل هذه الحالات.