Eu não acho que você conseguirá fazer isso sem alterar as configurações do cliente. No entanto, depois que todos os computadores cliente estiverem configurados, você poderá gerenciar isso a partir do servidor LDAP.
Uma maneira de conseguir isso é:
-
Escreva um arquivo
access_ldap.conf
que contenha isso e coloque/etc/security
:+:root:ALL -:ALL EXCEPT (the_group_that_has_access):ALL
Existe um arquivo
access.conf
em/etc/security/
, mas geralmente é incluído em alguns conjuntos de regras do sistema em/etc/pam.d
, por isso é mais difícil editá-lo, já que é necessário garantir que os daemons do sistema "façam login" Assim, você não pode bloquear todos, exceto um único grupo, sem escrever regras para os usuários do sistema. Ter um arquivo separado é menos incômodo.Observe que os parênteses em torno do nome do grupo indicam que o nome é, na verdade, um nome de grupo (
pam_access.so
procura um grupo se não encontrar o usuário e, por causa disso, os parênteses podem ser chamados de supérfluos, mas esta é a maneira "adequada" de se referir a grupos).Além disso, a primeira linha concede acesso à raiz em qualquer caso. Você pode querer adicionar outros usuários / grupos também, pois quem não estiver listado neste arquivo será bloqueado pela segunda linha.
-
Você deseja que
login
essh
favoreçam essa nova configuração, mas outros serviços devem funcionar como costumavam ser. Para isso, edite os arquivoslogin
esshd
em/etc/pam.d
para conter esta linha:account required pam_access.so accessfile=/etc/security/access_ldap.conf
Desta forma, apenas membros do grupo em questão poderão acessar o computador via ssh ou login. Os membros do grupo e, portanto, o acesso aos computadores, podem ser gerenciados no LDAP.