我有一台 Centos7 机器,已加入 Active Directory 域。问题是,如果我登录到 Centos7 服务器,我可以在会话中与 Active Directory 域中的任何用户名进行交互。
我可以拒绝通过 ssh 的访问,除非用户位于特定组中,但我无法实现用户执行的操作
su - different_user
different_user
活动目录中的任何用户在哪里。
我认为这可能可以使用pam
模块来实现,但不知道使用哪一个。我已经尝试过,pam_required.so
这使得所有用户都无法su
使用不同的用户帐户。即使是那些应该有权访问的人。
答案1
如果您只想允许某些用户作为su
命令的目标,您可以将以下内容放入/etc/pam.d/su
:
auth requisite pam_listfile.so onerr=fail item=user sense=allow file=/etc/su-users
auth required pam_unix.so
现在,如果您创建一个每行一个用户的文件/etc/su-users
,则只能su
“编辑”该文件中列出的用户。