使用 pam_access 检查帐户是否被允许

我正在使用 pam_access 和 /etc/security/access.conf 来限制谁可以登录我的 Rhel 6.5 主机。

我有一个拥有多样化用户群的 LDAP 服务器，安全人员想要一份谁可以登录到哪个服务器的列表。

我需要一种可编写的方法来检查某个帐户是否能够登录到主机。getent passwd、id、finger、groups 以及我尝试过的所有其他工具都会返回相同的输出，以判断某个帐户是否被限制登录。passwd -S 似乎根本不适用于 LDAP 帐户。

有没有办法检查给定帐户是否具有登录权限？在 Solaris 上，如果用户或网络组不在 /etc/passwd 中，则任何工具都无法识别受限帐户，但在 Linux 上似乎完全相反。

谢谢！

编辑：这是 /etc/pam.d/system-auth 的帐户部分： account required pam_access.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required pam_permit.so

我的 puppet 配置仅执行以下操作，这可能会更改 pam 设置。 /usr/sbin/authconfig --enablemkhomedir --updateall /usr/sbin/authconfig --enablekrb5 --updateall /usr/sbin/authconfig --enablepamaccess --updateall /usr/sbin/authconfig --enablesssd --updateall /usr/sbin/authconfig --nisdomain=domainname.corp --updateall 我的 /etc/security/access.conf + : root : ALL .... all system accounts + : @ngunix_admins : ALL - : ALL : ALL 我的网络组 getent netgroup ngunix_admins ngunix_admins ( ,danw,domainname.corp) 我在 ngunix_admins 网络组中，因此这是有意义的， % id danw uid=355400001(danw) gid=355400001(danw) groups=355400001(danw) % getent passwd danw danw:*:355400001:355400001:unixadmin:/home/danw:/bin/bash 但是这个其他用户不在 ngunix_admins 网络组中，所以我需要某种方式来识别他无法登录 id testuser uid=355400003(testuser) gid=355400003(testuser) groups=355400003(testuser) getent passwd testuser testuser:*:355400003:355400003:first last:/home/testuser:/bin/bash 第二次编辑：澄清我不是调整登录权限，而是尝试报告访问权限以供审核。