URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79951
[ Назад ]

Исходное сообщение
"login"
Отправлено set , 22-Апр-08 23:22

Как в FreeBSD разрешить логин только юзерам которые пренадлежат например к групам wheel, remote, а всем остальным запретить ? спасибо.

Содержание

login,Ночной админ, 00:40 , 23-Апр-08
- login,shutdown now, 02:45 , 23-Апр-08
  - login,set, 12:25 , 23-Апр-08
login,_KAV_, 12:39 , 23-Апр-08
- login,set, 17:53 , 23-Апр-08
  - login,_KAV_, 19:04 , 23-Апр-08
    - login,set, 19:13 , 23-Апр-08
login,sign, 20:58 , 23-Апр-08

Сообщения в этом обсуждении

"login"
Отправлено Ночной админ , 23-Апр-08 00:40

> Как в FreeBSD разрешить логин только юзерам которые пренадлежат например к
>групам wheel, remote, а всем остальным запретить ? спасибо.
man sshd_config
AllowGroups, AllowUsers.
Оно?

"login"
Отправлено shutdown now , 23-Апр-08 02:45

>> Как в FreeBSD разрешить логин только юзерам которые пренадлежат например к
>>групам wheel, remote, а всем остальным запретить ? спасибо.
>
> man sshd_config
>AllowGroups,  AllowUsers.
>
>Оно?
это только для ssh, для консоли не прокатит, а вот pam_group может:
cat /etc/pam.d/su
#
# $FreeBSD: src/etc/pam.d/su,v 1.16 2003/07/09 18:40:49 des Exp $
#
# PAM configuration for the "su" service
#
# auth
auth            sufficient      pam_rootok.so           no_warn
auth            sufficient      pam_self.so             no_warn
auth            requisite       pam_group.so            no_warn group=wheel root_only fail_safe
auth            include         system
# account
account         include         system
# session
session         required        pam_permit.so

"login"
Отправлено set , 23-Апр-08 12:25

>[оверквотинг удален]
>auth
>include         system
>
># account
>account         include
>      system
>
># session
>session         required
>     pam_permit.so
Спасибо буду пробовать

"login"
Отправлено _KAV_ , 23-Апр-08 12:39

> Как в FreeBSD разрешить логин только юзерам которые пренадлежат например к
>групам wheel, remote, а всем остальным запретить ? спасибо.
А чем стандартный подход - по умолчанию юзерам давать шеллом /sbin/nologin не устраивает?

"login"
Отправлено set , 23-Апр-08 17:53

>> Как в FreeBSD разрешить логин только юзерам которые пренадлежат например к
>>групам wheel, remote, а всем остальным запретить ? спасибо.
>
>А чем стандартный подход - по умолчанию юзерам давать шеллом /sbin/nologin не
>устраивает?
групы находятся в лдапе, есть несколько сотен машын, надо например разрешыть централизировано логин юзерам которые есть в групе 1 а те что в групе 2 запретить.

"login"
Отправлено _KAV_ , 23-Апр-08 19:04

>
>групы находятся в лдапе, есть несколько сотен машын, надо например разрешыть централизировано
>логин юзерам которые есть в групе 1 а те что в
>групе 2 запретить.
Тут в лдапе я не силен... а присвоить группе шелл система не позволяет?

"login"
Отправлено set , 23-Апр-08 19:13

>>
>>групы находятся в лдапе, есть несколько сотен машын, надо например разрешыть централизировано
>>логин юзерам которые есть в групе 1 а те что в
>>групе 2 запретить.
>
>Тут в лдапе я не силен... а присвоить группе шелл система не
>позволяет?
групе шел ??

"login"
Отправлено sign , 23-Апр-08 20:58

> Как в FreeBSD разрешить логин только юзерам которые пренадлежат например к
>групам wheel, remote, а всем остальным запретить ? спасибо.
/etc/login.access -- login access control table
pam_login_access -- login.access PAM module