SFTPアクセスは許可しますが、Active Directoryグループを使用するSSHアクセスは許可しません(非ローカルログイン)。

SFTPアクセスは許可しますが、Active Directoryグループを使用するSSHアクセスは許可しません(非ローカルログイン)。

そのため、SFTPサーバーとして使用するために特別にCentOS 7サーバーを構築しています。

仮想マシンを移行し、SFTPサーバーを再構築しています。したがって、この仮想マシンのSFTPサーバーにアクセスするために使用したいftpusersというActive Directoryセキュリティグループが既に存在します。ただし、これらのユーザーがADセキュリティグループLinuxAdminsに属していない限り、SSHを介して仮想マシンに接続することを許可しないことを願っています。だから私に必要なのは、ftpusersグループのメンバーがSFTP側だけを使用し、SSHを使用しないようにする方法です。私が見つけることができるすべてのドキュメントは、ローカルユーザーに対してこれを行う方法を説明していますが、すでにアクセス権があり、新しいLinuxサーバーに手動で設定したくないユーザーは1000人に近いです。

答え1

ftpusers および LinuxAdmins グループがログインして適切なグループを入力できるように、CentOS システムに AD をすでに設定しているとします。そうでない場合は教えてください。

/etc/ssh/sshd_configで同様の操作を実行できます。

Match Group ftpusers
    ForceCommand internal-sftp
    PermitTunnel no
    AllowAgentForwarding no
    AllowTcpForwarding no
    X11Forwarding no
    ChrootDirectory /path/to/sftp/space

また、ほとんどのドキュメントで推奨されるChrooted環境を使用するよう強制したい場合は、ChrootDirectoryを含めました。重要な部分はForceCommandです。つまり、sshを介してログインしても、シェルではなくSFTPバックエンドにのみ接続されます。他の設定はSSHの他のすべての機能を無効にします。

関連情報