O PAM Winbind, é configurado a partir deste arquivo, /etc/security/pam_winbind.conf
.
Para restringir o acesso a usuários em grupos especificados, adicione esta linha
require_membership_of = [SID],[SID],[SID]
Substitua o [SID]
pelo próprio AD User ou Group, SID. Você pode descobrir quais usuários / grupos estão atribuídos a quais SIDs, com este comando. wbinfo -n [NAME]
Substitua [NAME]
pelo nome do usuário ou grupo do AD especificado.
No entanto, esta situação winbind inteira não deve existir, como você deve normalmente optar pelo tradicional método Kerberos + LDAP.