タイトルは不明ですが、この質問に対する以前のバリエーションとは異なることを明確にしたかったのです。パラメータは次のとおりです。
- LDAP で認証されたユーザーを持つ HPC クラスター
- 一部のノードでは対話型ログインを使用できます。
- sftp、scp、または他のセキュリティ方法を介して$ homeを持つファイルサーバーに転送できることを願っています。
- ...しかし、サーバーへのSSHアクセス権を持ってはいけません。
この問題について私が見たほとんどのソリューションは、ユーザーのシェルを制限的なものに変更することに関連しています。ローカルアカウントがないため、対話型ノードにログインした汎用シェルがあるため、LDAPで基準シェルを変更することはできません。
また、転送するターゲットサーバーは特定のsysadminアカウントのシェルログインを許可するため、そのオプションを使用してシステムレベルでsftpなどを強制することはできません。
何が残りましたか?何か?ありがとうございます!
答え1
ユーザーに対話的にログインする必要があるかどうかを示す識別マークアップ(グループメンバーシップなど)がある場合は、ユーザーが/etc/profile.d
そのグループのメンバーであることを確認するファイルを配置できます。テストが失敗した場合は、exit
コマンドを実行します。
グループメンバーシップを使用する必要はありません。これは単なる例です。許可されたユーザーの静的リストがあっても大丈夫です。
アイデアは、プロファイルスクリプトが対話型ログインの一部としてのみ実行され、シェルを付与せずにファイル転送が発生する可能性があることです。