必要
- ssh-jailed はすべてのグループへのアクセスを制限しますが、1 つのグループを許可します。
login to VM-GP324911 for users in GP324911, deny others.
login to VM-GP9e68e for users in GP9e68ea, deny others.
login to VM-GPea7899 for users in GPea7899, deny others.
In some cases, an user can be in Group - GP324911 and GP9e68ea or others,
access or login should work based on group assigned to that VM.
GPOを使用すると、複数のADグループがSSHを介して複数のRHEL仮想マシンにログインできます。さらに制限したいのは、1つのADグループのみを許可し、他のグループを無効にすることです。
ただし、ユーザーが2つ以上のグループに属している場合、そのグループが許可されている場所にのみログインが許可されます。
以下のようにSSHマッチンググループを試してください。
Match Group GP324911
PasswordAuthentication yes
PubkeyAuthentication yes
Match Group GP9e68ea,GPea7899,GP2b4f8d,GP77c148,GPfeag5b,GP2g49g5,GPagd759
PasswordAuthentication no
PubkeyAuthentication no
上記のように動作します
- GP324911、GP9e68eaのユーザーセクション - VM-GP324911またはVM-GP9e68eaにログインできます。
2つの質問 -
- 動作が停止しました。以下のように一致許可ブロックを一致拒否ブロックの下に移動すると、グループ GP324911 が VM-GP324911 にアクセスする許可が停止します。
Match Group GP9e68ea,GPea7899,GP2b4f8d,GP77c148,GPfeag5b,GP2g49g5,GPagd759
PasswordAuthentication no
PubkeyAuthentication no
Match Group GP324911
PasswordAuthentication yes
PubkeyAuthentication yes
- 私たちはグループを拒否し、グループを許可しようとしましたが、成功しませんでした。別の方法を使用すると問題が解決します。
答え1
内部にsshd_configファイル内の各オプション(ここでは関連していないいくつかの例外を除く)は、そのオプションが最初に表示されたときにのみ適用されます。 2つの一致する部品がある場合:
Match something...
PasswordAuthentication yes
Match something else...
PasswordAuthentication no
これら2つの部分が一致するユーザは、対応するオプションが最初に来るので、そのオプションについて「はい」で終わる。
あなたの場合、「一致グループGP324911」セクションが最初に表示され、そのオプションがそのグループのすべてのユーザーに適用されるようです。
Match Group GP324911
PasswordAuthentication yes
PubkeyAuthentication yes
後で必要に応じて、「一致グループGP9e68ea、GPea7899、GP2b4f8d、GP77c148など」セクションを追加し、オプションを「いいえ」に設定できます。またはこれを行うこともできます:
Match all
PasswordAuthentication no
PubkeyAuthentication no
これは、GP324911 メンバーを含むすべての人と一致します。ただし、GP324911 メンバーには、最初の一致セクションでそのユーザーのオプションがすでに設定されているため、これらのオプションは適用されません。