我正在尝试为一组具有以下特征的计算机设置Chef管理的帐户:
>如果没有本地帐户,则会阻止登录.
>如果存在具有SSH密钥的本地帐户,则可以使用这些帐户进行身份验证.
>如果存在具有本地密码的本地帐户,则使用该密码进行身份验证.
>如果存在没有本地密码的本地帐户,则使用Kerberos.
我有那么多工作.
但我想要做的最后一件事是通过本地锁定密码来禁用帐户登录(例如使用usermod -L).问题是当本地密码被锁定时,PAM将回退到Kerberos …并允许访问.
有没有办法配置PAM,以便如果存在本地密码但它被锁定,它将不会尝试Kerberos?
到目前为止,我能想到的最好的方法是通过用不可思议的东西破解本地密码来锁定帐户.但这有点粗糙,如果有人不“遵循程序”,就不会发挥出色……
