wheelユーザーは、LDAPだけでなく、さまざまなシステムで意味のあるいくつかのグループ(組織の役割を含む)に保存します。 LDAPに入れたくないaudioグループなど、ワークステーションにローカルなグループもあります。videoローカルにログインすると、これらのローカルグループが表示されますが、SSHを介して同じシステムにログインすると、そのグループがありません。もちろん、後で自分で使用すると戻ってきますsu。私は間違った道を行っているかもしれませんが、PAMは疑わしいです。
関連項目のソースは次のとおりです。nsswitch.conf
passwd: compat ldap
shadow: compat ldap
group: compat ldap
pamの場合は常にauth行ですが、他の行は同じです。
/etc/pam.d/sshd
auth include system-remote-login
/etc/pam.d/system-remote-login(system-local-login私が追加できるものと同じ)
auth include system-login
/etc/pam.d/system-login
auth required pam_tally2.so onerr=succeed
auth required pam_shells.so
auth required pam_nologin.so
auth include system-auth
auth optional pam_gnome_keyring.so
account required pam_access.so
account required pam_nologin.so
account include system-auth
account required pam_tally2.so onerr=succeed
password include system-auth
password optional pam_gnome_keyring.so
session optional pam_loginuid.so
session required pam_env.so
session optional pam_lastlog.so
session include system-auth
session optional pam_gnome_keyring.so auto_start
session optional pam_motd.so motd=/etc/motd
session optional pam_mail.so
/etc/pam.d/su
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
auth include system-auth
account include system-auth
password include system-auth
session include system-auth
session required pam_env.so
session optional pam_xauth.so
/etc/pam.d/common-auth:
auth required pam_group.so use_first_pass
何が問題であり、どのように解決できますか?必要な追加情報があれば、喜んで提供します。
ベストアンサー1
今日は勇気を出してようやく解決しました。 Pamチェーンの動作原理は次のとおりです。
/etc/pam.d/sshd含む:/etc/pam.d/system-remote-login含む:/etc/pam.d/system-login含む:/etc/pam.d/system-authオプションの要件があります
明らかに、最後の包含は何らかの理由で機能しません。これまで私が混乱している理由は、インクルードが機能すると信じていましたが、そうではありません。誰でも理由を説明していただきありがとうございます。この行を追加すると、これがわかります。
auth optional pam_group.so
それでは/etc/pam.d/system-loginうまくいきます。