Redhat 4/5:
Хорошо, вот в чем дело. Мне нужно заблокировать свои серверы и разрешить пользователям входить в систему только через свою учетную запись ldap. Есть учетная запись приложения, которую используют все, но я бы предпочел, чтобы они использовали свою учетную запись LDAP, а затем sudo передали пользователю приложения. Я получил эту часть, однако в нашем приложении есть компоненты, которые требуют, чтобы у пользователя приложения был SSH без ключа. Не имело бы смысла разрешать одним пользователям прямой вход в систему с пользователем приложения, в то время как другим требуется LDAP.
В моем файле sshd_config я бы установил
DenyUser appuser
Если вы установите DenyUsers appuser затем appuser не могут войти в систему, используя ключи или иным образом: им будет отказано в входе в систему.
Что вы, вероятно, захотите сделать, так это заблокировать appuser'' и дайте этому пользователю новый SSH-ключ, к которому никто не имеет доступа. Теперь никто не может войти в систему как appuser, если у него нет нового SSH-ключа, который будет предоставлен только тем компонентам, которым нужен беспарольный SSH-доступ. Все остальные могут войти в систему со своей учетной записью LDAP и sudo, чтобы делать все, что им нужно, что, похоже, у вас уже есть.