У меня есть сеть хостинговых машин Centos 7 sshd, каждый из которых настроен на поиск открытых ключей пользователя в каталоге LDAP для аутентификации ssh.
Кроме того, все пользователи ssh, которые имеют доступ к этим ящикам Centos, разделены на одну из двух групп в каталоге: пользователи или администраторы.
Я хотел бы убедиться, что все пользователи в users группа имеет их оболочку, установленную на /bin/false и все пользователи в admins группа имеет их оболочку, установленную на /bin/bash.
В SSSD следующее успешно устанавливает оболочку для всех пользователей в /bin/false:
[domain/mydomain.com]
override_shell = /bin/false
Есть ли способ настроить оболочку для каждой группы AD отдельно? Что-то вроде следующего?
[domain/users@mydomain.com]
override_shell = /bin/false
[domain/admins@mydomain.com]
override_shell = /bin/bash
Если да, то как?
Вы ищете инструмент sss_override, который был добавлен в исходной версии 1.13 и будет добавлен в RHEL-7.2.
На данный момент переопределения оболочки являются глобальными.