Мне нужно ограничить доступ во время входа для некоторых пользователей. Я погуглил и обнаружил, что это возможно с модулями pam и time.conf.
Мой вопрос: можно ли сделать то же самое, но с группами, чтобы вместо работы с пользователями просто собрать этих пользователей и установить ограниченное время входа в эту группу?
Я использую ldap-сервер с centos7.
Да, это можно сделать, поработав с комбинацией pam_listfile и pam_time. Вам нужно будет заполнить детали, но вот скелет в вашем pam.conf
auth [success=1 default=ok] pam_listfile.so item=group sense=deny file=/path/to/restricted/groups onerr=fail
account required pam_time.so ...
В success=1 означает, что если этот модуль возвращает успех, то пропускает следующий 1 модуль. Т.е. если пользователь не входит ни в одну из запрещенных групп, не запускайте pam_time.so, в противном случае запускайте его.