これは非常に困るので、LDAP認証に失敗した場合でもローカルユーザでログインできるように設定を変更。対象のファイルは /etc/pam.d/system-auth です。
<変更前>
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
<変更後>
account [default=bad success=ok user_unknown=ignore authinfo_unavail=ignore] /lib/security/$ISA/pam_ldap.so
元ネタはsambaのメーリングリストより。(感謝!)
[samba-jp:15181] Re: LDAP認証とSWATとsystem-auth
http://www.samba.gr.jp/ml/article/samba-jp/msg15164.html
−追記:2010/01/07−
/etc/ldap.conf に以下の設定もしないと駄目でした。
#bind_policy hard
↓(変更)
bind_policy soft
↓(変更)
bind_policy soft
あと忘れがちなのが /etc/nsswitch.conf の設定。
passwd: files ldap
shadow: files ldap
group: files ldap
shadow: files ldap
group: files ldap
久々に設定したらハマりました…やでやで。
LDAP認証を入れているのにローカルユーザーでログインできてしまうというのはセキュリティレベルを下げることになりますが、
それに対してどのような対策を講じますか?(笑
春先にLDAPが落ちてひどい目にあった(覚えてるよね?)ので、ローカル認証は必須です。だってLDAPサーバ落ちたらコンソールからもログインできないなんてSinglePointOfFailureも甚だしいじゃないっすか。(そのためにネットワークもLDAPも二重化したけどさ…)
そもそもうちのシステムってsshのallowuserがローカルユーザなんだよね。LDAPのユーザはどっちかというとsambaとOpenVPN専用。外からアクセスできるサーバは公開鍵認証もしてるし、セキュリティレベルという意味では問題ないかと。
というわけで、何とぞお目こぼしのほど…。m(_ _)m