这里我遇到了一个极端情况。我的机构有一个 RHEL 服务器,学生可以登录并完成他们的工作。帐户保存在 LDAP 中,服务器使用 PAM 和 LDAP 进行身份验证。在学年结束时,我需要锁定此服务器上的学生帐户 - 即保持它们完好无损,但阻止该用户登录。我尝试过和passwd -l
,usermod -L
但在这两种情况下,用户仍然可以登录。
有没有办法锁定可以与 PAM LDAP 一起使用的帐户?
答案1
这可以通过使用组 ACL 来实现。将以下行添加到您的 common-auth 文件中:
auth required pam_access.so
将会设置它。然后,您可以使用组(可以是 LDAP)来设置显式拒绝。反转含义以获得显式允许,如果您不允许删除学生,这可能是更好的选择。
-:ALL EXCEPT root grp-retired-students:ALL EXCEPT LOCAL