Só queria deixar isso aqui para qualquer outra pessoa procurando por esse tipo de coisa. Dê uma olhada em /etc/security/access.conf
. Ele reconhece usuários / grupos / local / LDAP. Isso é o que acabei fazendo. É um bom ponto de parada para as ACLs.
Você precisará ativar pam_access.conf
em vários arquivos em /etc/pam.d/
Esteja ciente das atualizações do sistema redefinindo essas edições. Não tenho certeza de como contornar isso. talvez a menção de pam_succeed
acima fosse um lugar melhor para isso.
# grep access /etc/pam.d/*
...
/etc/pam.d/login:# Uncomment and edit /etc/security/access.conf if you need to
...
/etc/pam.d/login:account required pam_access.so
/etc/pam.d/sshd:# Uncomment and edit /etc/security/access.conf if you need to set complex
...
/etc/pam.d/sshd:account required pam_access.so
exemplo access.conf
:
# allow root from the backup system
+ : root : 10.10.16.2
# allow root from cron, serial port and tty consoles
+ : root : cron crond :0 ttyS0 tty1 tty2 tty3 tty4 tty5 tty6
# allow ldapusers on 10.0.0.0/8 subnet
+ : ldapuser4 ldapuser1 ldapuser7: 10.0.0.0/8
# allow users in ldap posixGroup on 10.10.16.0 subnet
+ : ldapssh : 10.10.16.0/24
# allow everyone in the localhost sftponly group from anywhere
+ : sftponly : ALL
# drop everyone else from anywhere
- : ALL : ALL