要求

• ssh-jailed 访问限制所有组，但允许一组。

login to VM-GP324911 for users in GP324911, deny others.
login to VM-GP9e68e for users in GP9e68ea, deny others.
login to VM-GPea7899 for users in GPea7899, deny others.

In some cases, an user can be in Group - GP324911 and GP9e68ea or others, 
access or login should work based on group assigned to that VM.

通过 GPO，允许多个 AD 组通过 ssh 登录到多个 RHEL 虚拟机。我们想要进一步限制的是 - 只允许一个 AD 组并禁止其他组。

但是，如果用户属于两个或多个组，则仅允许登录到允许该组的位置。

尝试使用 ssh 匹配组，如下所示 -

Match Group GP324911
  PasswordAuthentication yes
  PubkeyAuthentication yes

Match Group GP9e68ea,GPea7899,GP2b4f8d,GP77c148,GPfeag5b,GP2g49g5,GPagd759
  PasswordAuthentication no
  PubkeyAuthentication no

它的工作方式如上

• GP324911、GP9e68ea 的用户部分——允许登录 VM-GP324911 或 VM-GP9e68ea。

两个问题——

• 它停止工作，如果我将允许匹配块移动到拒绝匹配块下方，如下所示，那么它将停止允许组 GP324911 在 VM-GP324911 中进行访问

Match Group GP9e68ea,GPea7899,GP2b4f8d,GP77c148,GPfeag5b,GP2g49g5,GPagd759
  PasswordAuthentication no
  PubkeyAuthentication no

Match Group GP324911
  PasswordAuthentication yes
  PubkeyAuthentication yes

• 我们尝试过拒绝组和允许组，但没有成功。任何其他方法都可以做到这一点。