ldap autorizacia a limitovanie pristupu na shell

[Michal Dobes]

Jan Nemsak napsal(a):
> Mam ldap server, v nom userov (posixAccount) a skupiny (posixGroup)
> do ktorych su priradeni useri cez atribut memberUid
> 
> Vsetko funguje, maily, samba, ACL ...
> teraz by som chcel vyclenit ze napr. na server linuxdev sa moze cez ssh 
> prihlasit len urcita skupina a neviem ako na to.
> Ide mi o to aby login mohli ziskat len nejaky useri z jednej skupiny, 
> ale server ma samozrejme poznat vsetkych uzivatelov (napr. na 
> filesysteme alebo v sambe)

Pomoci pam_listfile by to mohlo jit.
Popis jak na to je treba zde:
http://www.cyberciti.biz/tips/howto-deny-allow-linux-user-group-login.html

Jestli je to navic tak, ze na danem systemu existuje domaci
adresar jen pro uzivatele, co se maji prihlasit a pro ostatni
nikoliv, tak nekde i plaval PAM modul, ktery testoval existenci home
adresare a bez nej nepustil dovnitr (pozor, existuje i modul, ktery
pri neexistenci home adresare jej automaticky zalozi a uzivatele
pusti).

Jestlize dane omezeni se ma prakticky uplatnovat jen na SSH, tak
v konfiguraci SSH serveru je zajimava direktiva jmenem AllowGroups.

M.