Se eu entendi sua pergunta corretamente, você deseja fornecer apenas sftp
service (ou seja, nenhum log-in interativo via ssh
).
Você pode forçar conexões a usar o serviço sftp
adicionando isso ao seu arquivo sshd_config
:
ForceCommand internal-sftp
Isso está documentado na página sshd_config
man:
ForceCommand
Forces the execution of the command specified by ForceCommand, ignoring any
command supplied by the client and ~/.ssh/rc if present. The command is
invoked by using the user’s login shell with the -c option. This applies to
shell, command, or subsys- tem execution. It is most useful inside a Match
block. The command originally supplied by the client is available in the
SSH_ORIGINAL_COMMAND environment variable. Specifying a command of
“internal-sftp” will force the use of an in-process sftp server that requires
no support files when used with ChrootDirectory.
Você pode modificar /etc/pam.d/sshd
para configurar o sshd para usar o módulo pam_ldap
normal em vez do módulo pam
fornecido pela Centrify.
Com essas alterações de configuração em vigor, sftp
conexões usarão a autenticação LDAP
normal e os shells interativos não estarão disponíveis.