そのため、SFTPサーバーとして使用するために特別にCentOS 7サーバーを構築しています。
仮想マシンを移行し、SFTPサーバーを再構築しています。したがって、この仮想マシンのSFTPサーバーにアクセスするために使用したいftpusersというActive Directoryセキュリティグループが既に存在します。ただし、これらのユーザーがADセキュリティグループLinuxAdminsに属していない限り、SSHを介して仮想マシンに接続することを許可しないことを願っています。だから私に必要なのは、ftpusersグループのメンバーがSFTP側だけを使用し、SSHを使用しないようにする方法です。私が見つけることができるすべてのドキュメントは、ローカルユーザーに対してこれを行う方法を説明していますが、すでにアクセス権があり、新しいLinuxサーバーに手動で設定したくないユーザーは1000人に近いです。
答え1
ftpusers および LinuxAdmins グループがログインして適切なグループを入力できるように、CentOS システムに AD をすでに設定しているとします。そうでない場合は教えてください。
/etc/ssh/sshd_configで同様の操作を実行できます。
Match Group ftpusers
ForceCommand internal-sftp
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
ChrootDirectory /path/to/sftp/space
また、ほとんどのドキュメントで推奨されるChrooted環境を使用するよう強制したい場合は、ChrootDirectoryを含めました。重要な部分はForceCommandです。つまり、sshを介してログインしても、シェルではなくSFTPバックエンドにのみ接続されます。他の設定はSSHの他のすべての機能を無効にします。