特定のユーザーだけがローカルセッションと対話できるようにする

特定のユーザーだけがローカルセッションと対話できるようにする

Active Directoryドメインに参加しているCentos7システムがあります。問題は、Centos7サーバーにログインすると、セッション内のActive Directoryドメイン内のすべてのユーザー名と対話できることです。

ユーザーが特定のグループに属していない限り、SSHを介したアクセスを拒否できますが、ユーザーが行うことはできません。

su - different_user

different_userActive Directoryのユーザーはどこにいますか?

モジュールを使うとこれが可能かもしれませんpamが、どのモジュールを使うべきかわかりません。私はこれを試みたので、すべてのユーザーが他のユーザーアカウントを使用pam_required.soできなくなりました。suアクセス権が必要な人も同じです。

答え1

su特定のユーザーだけがコマンドのターゲットになることを許可するには、次のように入力します/etc/pam.d/su

auth requisite pam_listfile.so onerr=fail item=user sense=allow file=/etc/su-users
auth required pam_unix.so

1行に1人のユーザーを含むファイルを作成すると、ファイルにリストされているユーザーだけが/etc/su-users「編集」できます。su

関連情報