У меня есть сеть машин Centos 7, на которых размещены sshd, каждая из которых настроена на поиск открытых ключей пользователя в каталоге LDAP для аутентификации SSH.
Кроме того, все пользователи ssh, имеющие доступ к этим устройствам Centos, делятся в каталоге на одну из двух групп: пользователи или администраторы.
Я хотел бы убедиться, что у всех пользователей в usersгруппе установлена оболочка /bin/false, а у всех пользователей в adminsгруппе установлена оболочка /bin/bash.
В SSSD следующее успешно устанавливает оболочку для всех пользователей /bin/false:
[domain/mydomain.com]
override_shell = /bin/false
Есть ли способ настроить оболочку для каждой группы AD отдельно? Что-то вроде следующего?
[domain/[email protected]]
override_shell = /bin/false
[domain/[email protected]]
override_shell = /bin/bash
Если да, то как?
решение1
Вам нужен инструмент sss_override, который был добавлен в версию 1.13 и будет добавлен в RHEL-7.2.
На данный момент переопределения оболочки являются глобальными.