Você pode fazer isso de duas maneiras. Uma delas é deixar o filtro de configuração SSH e a outra é usar pam_access .
Usando a configuração SSH
Para /etc/ssh/sshd_config , adicione uma linha AllowGroups :
AllowGroups Domain Admin
Na página de manual :
AllowGroups
This keyword can be followed by a list of group name patterns,
separated by spaces. If specified, login is allowed only for
users whose primary group or supplementary group list matches one
of the patterns.
Domain Admin here não corresponde a Domain Admin do nome do grupo, mas dois grupos separados Domain e Admin . Você terá que usar algo como Domain*Admin e *it_admin , já que nem (espaço) nem ( # ) são geralmente caracteres válidos em grupos do Linux. Para estar no lado mais seguro, use ? em vez de * : Domain?Admin e ?it_admin , para que apenas um caractere seja permitido pelo caractere curinga. Você também pode adicionar uma seção DenyGroups baseada em padrão. Veja a seção PATTERNS em man ssh_config .
Usando pam_access
Adicione linhas a /etc/security/access.conf do formulário:
- : ALL EXCEPT (Domain) (Admin) : ALL
Existem muitos comentários nesse arquivo que documentam como usá-lo. man pam_access é bastante simples, então a maioria das informações viria desses comentários. pam_access é mais poderoso, pois também pode controlar logins não-SSH (TTYs, GUI, etc.). Essa linha específica, por exemplo, deve negar qualquer usuário que não tenha Domain ou Admin como um grupo de fazer login (a menos que outras linhas permitam).
Ambas as abordagens são bastante flexíveis e eu não sei os prós e contras, por isso não há recomendações.