1.2. 选择 authselect 配置集

作为系统管理员,您可以为特定主机选择 authselect 工具的配置集。该配置集将应用于登录到主机的每个用户。

先决条件

  • 运行 authselect 命令需要 root 凭证

步骤

  • 选择适合您的身份验证供应商的 authselect 配置集。例如,若要登录到使用 LDAP 的公司网络,请选择 sssd

    # authselect select sssd

    • (可选)您可以在 authselect select sssdauthselect select winbind 命令中添加以下选项来修改默认配置集设置,例如:

      • with-faillock
      • with-smartcard
      • with-fingerprint

    要查看可用选项的完整列表,请参阅将脚本从 authconfig 转换到 authselectauthselect-migration(7) man page。

注意

在完成 authselect select 过程前,请确定正确配置了与您的配置集相关的配置文件。例如,如果 sssd 守护进程没有正确配置并处于活动状态,则运行 authselect select 会导致只有本地用户可以使用 pam_unix 进行身份验证。

验证步骤

  1. 验证 /etc/nsswitch.conf 中是否存在 SSSD 的 sss 条目: 

    passwd:     sss files
group:      sss files
netgroup:   sss files
automount:  sss files
services:   sss files
...

  2. pam_sss.so 条目中查看 /etc/pam.d/system-auth 文件的内容: 

    # Generated by authselect on Tue Sep 11 22:59:06 2018
# Do not modify this file manually.

auth        required        pam_env.so
auth        required        pam_faildelay.so delay=2000000
auth        [default=1 ignore=ignore success=ok]    pam_succeed_if.so uid >= 1000 quiet
auth        [default=1 ignore=ignore success=ok]    pam_localuser.so
auth        sufficient      pam_unix.so nullok try_first_pass
auth        requisite       pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient      pam_sss.so forward_pass
auth        required        pam_deny.so

account     required        pam_unix.so
account     sufficient      pam_localuser.so
...

其它资源