SSH разрешают группы окон AD (с символами Special)
Я имею, соединяют мой Linux с доменом окон успешно, и теперь все в домене могут войти в систему сервера при помощи ssh.
Но мы только хотим позволить определенным пользователям от группы входить в систему.
Пример текущих двух групп:
#it_admin
Domain Admin
1 ответ
Можно сделать это двумя способами. Нужно позволить конфигурации SSH отфильтровать, и другой должен использовать pam_access.
Используя конфигурацию SSH
Кому: /etc/ssh/sshd_config, добавьте a AllowGroups строка:
AllowGroups Domain Admin
AllowGroups
This keyword can be followed by a list of group name patterns,
separated by spaces. If specified, login is allowed only for
users whose primary group or supplementary group list matches one
of the patterns.
Domain Admin здесь не соответствует Domain Admin название группы, но две отдельных группы Domain и Admin. Необходимо будет использовать что-то как Domain*Admin и *it_admin, начиная ни с одного (пространство), ни (#) обычно допустимые символы в группах Linux. Чтобы быть на более безопасной стороне, использовать ? вместо *: Domain?Admin и ?it_admin, так, чтобы только один символ был позволен подстановочным знаком. Можно также добавить основанный на шаблоне раздел DenyGroups. Посмотрите PATTERNS раздел в man ssh_config.
Используя pam_access
Добавьте строки к /etc/security/access.conf из формы:
- : ALL EXCEPT (Domain) (Admin) : ALL
Существует много комментариев в том файле, какой документ, как использовать его. man pam_access довольно пусто, таким образом, большая часть информации прибыла бы из тех комментариев. pam_access более мощно в этом, это может управлять логинами non-SSH также (TTYs, GUI, и т.д.). Эта конкретная строка, например, должна отклонить любого пользователя, который не имеет Domain или Admin как группа от входа в систему вообще (если другие строки не позволяют им).
Оба подхода довольно гибки, и я не знаю за и против, таким образом, никакие рекомендации.