Active Directoryドメインに参加しているCentos7システムがあります。問題は、Centos7サーバーにログインすると、セッション内のActive Directoryドメイン内のすべてのユーザー名と対話できることです。
ユーザーが特定のグループに属していない限り、SSHを介したアクセスを拒否できますが、ユーザーが行うことはできません。
su - different_user
different_user
Active Directoryのユーザーはどこにいますか?
モジュールを使うとこれが可能かもしれませんpam
が、どのモジュールを使うべきかわかりません。私はこれを試みたので、すべてのユーザーが他のユーザーアカウントを使用pam_required.so
できなくなりました。su
アクセス権が必要な人も同じです。
答え1
su
特定のユーザーだけがコマンドのターゲットになることを許可するには、次のように入力します/etc/pam.d/su
。
auth requisite pam_listfile.so onerr=fail item=user sense=allow file=/etc/su-users
auth required pam_unix.so
1行に1人のユーザーを含むファイルを作成すると、ファイルにリストされているユーザーだけが/etc/su-users
「編集」できます。su