Gostaria de restringir um determinado grupo LDAP de efetuar login em um host, mas permitir que ele faça login em um aplicativo específico. Se eu tiver esses grupos definidos no LDAP:
Server: myhost01
1) ldap-grp1
2) ldap-grp2
3) ldap-grp3
Somente os grupos 1 e 2 devem poder fazer login no myhost01 via ssh / sssd.
Os grupos 1, 2 e 3 devem ter acesso permitido a um aplicativo em execução específico no myhost01.
Este aplicativo pode configurar sua própria configuração e pode acessar o LDAP com seu próprio conjunto de grupos, mas atualmente temos configurado para usar a configuração do PAM do host.
Gostaria de ver uma maneira de fazer isso via PAM, em vez de modificar a configuração do aplicativo, já que pode ser complicado por meio do aplicativo. Estou vendo o /etc/security/access.conf, mas acho que isso limitaria a aplicação, não importa o que eu faça, embora não seja um guru do PAM.
De qualquer forma, para fazer isso?
Felicidades, TK
Tags ssh ldap active-directory linux