我必须限制某些用户的登录时间访问。我在 Google 上搜索后发现可以使用 pam 模块和 time.conf 来实现。
我的问题是:是否可以对组执行相同的操作,这样,就不用处理用户,而是只聚集这些用户并为该组设置有限的登录时间?
我正在使用带有 centos7 的 ldap 服务器。
答案1
是的,这可以通过结合pam_listfile和来完成pam_time。您必须填写详细信息,但这是您的框架pam.conf
auth [success=1 default=ok] pam_listfile.so item=group sense=deny file=/path/to/restricted/groups onerr=fail
account required pam_time.so ...
意思success=1是,如果此模块返回成功,则跳过下一个模块。即,如果用户不在任何被拒绝的组中,则不要运行 pam_time.so,否则运行它。