Приветствую. Не удается настроить ограничение прав для доменных юзеров в Ubuntu 10.04, машина успешно введена в домен (настроено через Samba+Winbind+Kerberos). Команды
wbinfo -u
wbinfo -g
выдают правильный результат, могу залогиниться любим доменным или локальным пользователем на Ubuntu. Надо ограничить таких пользователей. Неудачно пробовал реализовать это через PAM. Мб есть альтернативные способы ограничения?

Конфиги: /etc/security/group.conf
gdm;*;linuh;Al0000-2400;floppy        # linuh - доменный аккаунт

nano /etc/pam.d/gdm
auth    requisite       pam_group.so                
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required        pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional        pam_gnome_keyring.so auto_start
@include common-password

в /etc/pam.d/common-session добавил только одну строку
session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077

остальные конфиги pam не правил.

• Ограничение доступа доменным пользователям на Linux-машине,Zl0, 16:16 , 19-Апр-11
  • Ограничение доступа доменным пользователям на Linux-машине,evors, 16:59 , 19-Апр-11
    • Ограничение доступа доменным пользователям на Linux-машине,Zl0, 17:09 , 19-Апр-11
• Ограничение доступа доменным пользователям на Linux-машине,Евгений, 16:27 , 19-Апр-11
  • Ограничение доступа доменным пользователям на Linux-машине,evors, 18:07 , 19-Апр-11
    • Ограничение доступа доменным пользователям на Linux-машине,evors, 12:47 , 20-Апр-11

>[оверквотинг удален]
> close
> session required        pam_limits.so
> @include common-session
> session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so
> open
> session optional        pam_gnome_keyring.so auto_start
> @include common-password
> в /etc/pam.d/common-session добавил только одну строку
> session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077
> остальные конфиги pam не правил.

man sshd_config  

AllowGroups
AllowUsers

> man sshd_config
> AllowGroups
> AllowUsers

Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем случае)?

>> man sshd_config
>> AllowGroups
>> AllowUsers
> Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем
> случае)?

Это уже в паме  смотрите, ответ ниже.

system-auth
account     required      pam_unix.so
account     required      pam_access.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     sufficient    pam_winbind.so
account     required      pam_permit.so

cat /etc/security/access.conf
- : ALL except jack root : ALL

man pam_access

>[оверквотинг удален]
> account     required      pam_unix.so
> account     required      pam_access.so
> account     sufficient    pam_localuser.so
> account     sufficient    pam_succeed_if.so uid <
> 500 quiet
> account     sufficient    pam_winbind.so
> account     required      pam_permit.so
> cat /etc/security/access.conf
> - : ALL except jack root : ALL
> man pam_access

Это действительно помогло, огромное спасибо.

>[оверквотинг удален]
>> account     required      pam_access.so
>> account     sufficient    pam_localuser.so
>> account     sufficient    pam_succeed_if.so uid <
>> 500 quiet
>> account     sufficient    pam_winbind.so
>> account     required      pam_permit.so
>> cat /etc/security/access.conf
>> - : ALL except jack root : ALL
>> man pam_access
> Это действительно помогло, огромное спасибо.

С пользователями работает отлично, с группами не хочет. Записываю так:
- : ALL except (domain_group) local_user root : ALL