Eu tenho uma máquina Centos7 unida a um domínio do Active Directory. o problema é que, se eu fizer login no servidor Centos7, posso interagir na sessão com qualquer nome de usuário do domínio do Active Directory.
posso negar o acesso através do ssh a menos que o usuário esteja em um grupo específico, mas não consigo fazer os usuários fazerem
su - different_user
Em que different_user é qualquer usuário dentro do diretório ativo.
Acho que isso pode ser possível usando pam modules, mas não sei qual deles usar. Eu tentei o pam_required.so , o que faz com que todos os usuários não consigam su para uma conta de usuário diferente. Mesmo para os que deveriam ter acesso.
Se você deseja que apenas alguns usuários sejam permitidos como destino para um comando su , você pode colocar o seguinte em /etc/pam.d/su :
auth requisite pam_listfile.so onerr=fail item=user sense=allow file=/etc/su-users
auth required pam_unix.so
agora, se você criar um arquivo /etc/su-users com um usuário por linha, somente os usuários listados nesse arquivo poderão ser su .