Я имею, соединяют мой Linux с доменом окон успешно, и теперь все в домене могут войти в систему сервера при помощи ssh.
Но мы только хотим позволить определенным пользователям от группы входить в систему.
Пример текущих двух групп:
#it_admin
Domain Admin
Можно сделать это двумя способами. Нужно позволить конфигурации SSH отфильтровать, и другой должен использовать pam_access
.
Кому: /etc/ssh/sshd_config
, добавьте a AllowGroups
строка:
AllowGroups Domain Admin
AllowGroups
This keyword can be followed by a list of group name patterns,
separated by spaces. If specified, login is allowed only for
users whose primary group or supplementary group list matches one
of the patterns.
Domain Admin
здесь не соответствует Domain Admin
название группы, но две отдельных группы Domain
и Admin
. Необходимо будет использовать что-то как Domain*Admin
и *it_admin
, начиная ни с одного (пространство), ни (
#
) обычно допустимые символы в группах Linux. Чтобы быть на более безопасной стороне, использовать ?
вместо *
: Domain?Admin
и ?it_admin
, так, чтобы только один символ был позволен подстановочным знаком. Можно также добавить основанный на шаблоне раздел DenyGroups. Посмотрите PATTERNS
раздел в man ssh_config
.
pam_access
Добавьте строки к /etc/security/access.conf
из формы:
- : ALL EXCEPT (Domain) (Admin) : ALL
Существует много комментариев в том файле, какой документ, как использовать его. man pam_access
довольно пусто, таким образом, большая часть информации прибыла бы из тех комментариев. pam_access
более мощно в этом, это может управлять логинами non-SSH также (TTYs, GUI, и т.д.). Эта конкретная строка, например, должна отклонить любого пользователя, который не имеет Domain
или Admin
как группа от входа в систему вообще (если другие строки не позволяют им).
Оба подхода довольно гибки, и я не знаю за и против, таким образом, никакие рекомендации.