У меня здесь крайний случай. В моем учреждении есть сервер RHEL, на котором студенты могут входить в систему и выполнять свою работу. Учетные записи хранятся в LDAP, и сервер использует PAM и LDAP для аутентификации. В конце учебного года мне нужно заблокировать учетные записи студентов на этом сервере, то есть сохранить их нетронутыми, но не дать этому пользователю войти в систему. Я пробовал passwd -l
и usermod -L
, но в обоих случаях пользователь может войти в систему.
Есть ли способ заблокировать учетную запись, которая будет работать с PAM LDAP?
Это может быть выполнено с помощью групповых списков контроля доступа. Добавьте следующую строку в ваш файл common-auth:
auth required pam_access.so
Буду настраивать. Затем вы можете использовать группу (это может быть LDAP) для установки явного отказа. Инвертируйте значение, чтобы получить явное разрешение, что может быть лучшим выбором, если вам не разрешено когда-либо удалять студентов.
-:ALL EXCEPT root grp-retired-students:ALL EXCEPT LOCAL