mrc02_kr está certo, eu acho.
+ : root : ALL
+ : (group_name) : ALL
- : ALL : ALL
Mas isso deixa um passo importante: você tem que dizer ao authconfig que você quer impor o controle de acesso do PAM. Antes de fazer isso, o arquivo access.conf não faz nada.
* UMA PALAVRA DE CUIDADO: *
O que eu estou prestes a descrever funciona nos meus sistemas, mas é muito perigoso, e pode deixá-lo trancado fora do seu sistema se você fizer isso incorretamente ou se sua configuração for diferente. Tome a precaução de ter uma sessão de console aberta para reparar problemas. Se esta for uma VM, tire um instantâneo. Faça backups. Use uma caixa de teste antes de fazer algo que lhe interessa. Não reinicialize enquanto estiver tendo problemas. Como não tenho experiência com o FreeIPA, isso pode atrapalhar sua configuração. Você foi avisado. OK, de volta para a resposta:
Primeiro, fiz um backup do meu authconfig:
authconfig --savebackup authconfig_working_outofbox01
Em seguida, adicionei um grupo local para contas autorizadas para ssh (mas tenho quase certeza de que isso funcionará para grupos no FreeIPA ... mas não tenho 100% de certeza. Usei uma configuração usando um grupo LDAP ... acabou de passar um tempo.)
Em seguida, atualizei o arquivo acces.conf, adicionando:
+ : (ssh_auth) : ALL
- : ALL : ALL EXCEPT LOCAL
Em seguida, edito o arquivo: / etc / sysconfig / authconfig, alterando
USEPAMACCESS=no
para
USEPAMACCESS=yes
Por último, diga ao authconfig para atualizar:
authconfig --updateall
Agora teste cada tipo de usuário para ter certeza de obter os resultados desejados. Isso parece muito pouco documentado na internet, fazendo-me pensar que poucas lojas usam isso. Eu gosto disso como um passo sólido em sistemas de endurecimento.