Eu tenho um pouco de vantagem aqui. Minha instituição tem um servidor RHEL onde os alunos podem fazer login e fazer seu trabalho. As contas são mantidas no LDAP e o servidor usa o PAM e o LDAP para autenticar. No final do ano acadêmico, preciso bloquear as contas de alunos nesse servidor, ou seja, preservá-las intactas, mas impedir que o usuário faça o login. Experimentei passwd -l e usermod -L , mas em ambos os casos o usuário pode ainda logar.
Existe uma maneira de bloquear uma conta que funcione com o PAM LDAP?
Isso pode ser feito usando ACLs de grupo. Adicionando a seguinte linha ao seu arquivo de autenticação comum:
auth required pam_access.so
Irá configurá-lo. Você pode então usar um grupo (pode ser LDAP) para definir uma negação explícita. Inverta o significado para obter uma permissão explícita, que pode ser uma opção melhor se você não puder excluir alunos.
-:ALL EXCEPT root grp-retired-students:ALL EXCEPT LOCAL