Řešení 1:
Za předpokladu, že jsou skupiny dostupné pro systém Linux, doporučuji upravit /etc/security/access.conf pro Ubuntu, distribuce RedHat (a jejich forky) a pravděpodobně spoustu dalších. To nevyžaduje úpravu souborů PAM a je to docela standardní místo, kde to udělat. V souboru jsou obvykle příklady, komentované.
Řešení 2:
(Mluvím zde o sambě 3, se sambou 4 teď nemám žádné zkušenosti.)
Tyto soubory /etc/pam.d/xxx není třeba upravovat. pam_winbind.conf je požadovaný soubor, obvykle se nachází na adrese /etc/security/pam_winbind.conf .
Je to konfigurační soubor modulu pam_winbind a funguje pro CentOS/Redhat i Debian/Ubuntu. Pro referenci si můžete přečíst manuálovou stránku pam_winbind.conf.
Zde je příklad souboru.
#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#
[global]
# turn on debugging
;debug = no
# turn on extended PAM state debugging
;debug_state = no
# request a cached login if possible
# (needs "winbind offline logon = yes" in smb.conf)
cached_login = yes
# authenticate using kerberos
;krb5_auth = no
# when using kerberos, request a "FILE" krb5 credential cache type
# (leave empty to just do krb5 authentication but not have a ticket
# afterwards)
;krb5_ccache_type =
# make successful authentication dependend on membership of one SID
# (can also take a name)
# require_membership_of = SID,SID,SID
require_membership_of = S-1-5-21-4255311587-2195296704-2687208041-1794
# password expiry warning period in days
;warn_pwd_expire = 14
# omit pam conversations
;silent = no
# create homedirectory on the fly
mkhomedir = yes
Řešení 3:
Momentálně používám AllowGroups direktiva v /etc/ssh/sshd_config omezit, kdo se může přihlásit. Zadejte na tomto řádku jednu nebo více AD skupin a tito lidé se budou moci přihlásit jako jediní.
Mějte na paměti, že to funguje pouze v případě, že vaši uživatelé jsou pouze vzdálený přístup k serveru přes ssh. Pokud zpívají lokálně, budete muset najít jiné řešení.
Řešení 4:
Ano, existuje několik způsobů, jak toho dosáhnout v závislosti na tom, čeho se přesně snažíte dosáhnout.
První způsob lze provést prostřednictvím konfigurace samba. To umožní pouze těmto uživatelům připojit se k Sambě, ostatní uživatelé se mohou stále přihlašovat prostřednictvím jiných služeb (ssh, lokální termín atd.). S tímto budete chtít přidat řádek do své sekce [global] v smb.conf:
valid users = @groupA @groupB
Další metodou je úprava pravidel PAM. Různé distribuce zde mají drobné rozdíly, ale obecně řečeno existují pravidla PAM pro každou službu a také společná pravidla, můžete se rozhodnout, co je nejlepší. Budete chtít přidat omezení účtu pomocí modulu pam_require. Příkladem na mém notebooku (Fedora 13) by bylo upravit sekci účtu v /etc/pam.d/system-auth na:
account required pam_unix.so
account required pam_require.so @groupA @groupB
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
Pro zjednodušení administrace možná budete chtít vytvořit novou skupinu v AD za účelem sledování uživatelů, kteří se mohou přihlásit k tomuto serveru.