У меня есть набор из ~ 10 серверов, использующих LDAP для управления учетными записями. Далее мы используем /etc/security/access.conf с pam_access.so, чтобы контролировать, какие группы имеют доступ к каким серверам.
Очень редко, когда я запускаю обновления пакетов apt, процесс блокируется, потому что инструкция postinst наталкивается на su -c директива. Но это su это некая системная учетная запись, не входящая в группы LDAP, и поэтому запрещенная правилами доступа. Это случилось с postgres и spamassassin, не в большом количестве мест, но в стандартных пакетах debian это определенно есть.
Возможно, это указывает на лучший способ выполнять мои правила pam?
Некоторые примечания о настройке LDAP / pam. Мой коллега в основном следовал указаниям здесь (https://wiki.debian.org/LDAP/PAM), соответственно, в разделе «Разрешить вход для каждой группы».
Итак, /etc/security/access.conf заканчивается на:
+:bypassaccount:ALL
-:ALL EXCEPT root (group1) (other_group):ALL
И наши правила авторизации по сути:
auth required pam_access.so
auth sufficient pam_rootok.so
(на самом деле, это еще больший беспорядок, потому что несколько человек изучали или не изучали pam, делая это, но это было выбрано, потому что для root не имеет смысла иметь возможность регистрировать пользователя, который не может получить доступ узел?)