Is there a way to use netgroups or some other configuration to allow our team members to authenticate using the NIS server but still restrict access to all other users?
É por isso que existem netgroups.
A solução mais fácil para fazer o que você deseja é usar a funcionalidade compat
de nsswitch.conf
. Isso está documentado - breve e mal - em nsswitch.conf(5)
:
Interaction with +/- syntax (compat mode)
...In /etc/passwd you could have entries of the form +user or +@netgroup (include the specified user from the NIS passwd map), -user or -@netgroup (exclude the specified user), and + (include every user, except the excluded ones, from the NIS passwd map).
Em termos práticos, isso significa que, se o seu nsswitch.conf
for assim:
passwd: compat
E o seu /etc/passwd
termina com uma linha como esta:
+@myusers
Em seguida, somente os membros do myusers
netgroup poderão se autenticar no sistema.
Você pode realizar algo semelhante usando o módulo pam_listfile
em sua configuração do PAM e criando restrições com base na associação de grupo (em vez de netgroup ). Isso é bom se você tiver grupos e netgroups que você está tentando manter em sincronia (porque agora você pode simplesmente usar grupos Unix padrão). Este documento tem um exemplo de restrição de logins para grupos específicos usando pam_listfile
.