Sim, isso pode ser feito com algum trabalho com uma combinação de pam_listfile
e pam_time
. Você terá que preencher os detalhes, mas aqui está o esqueleto no seu pam.conf
auth [success=1 default=ok] pam_listfile.so item=group sense=deny file=/path/to/restricted/groups onerr=fail
account required pam_time.so ...
O success=1
significa que, se este módulo retornar sucesso, pule o próximo módulo 1. Ou seja se o usuário não estiver em nenhum dos grupos negados, não execute o pam_time.so, caso contrário, execute-o.