SSH autorise les groupes Windows AD (avec caractères spéciaux)

Vous pouvez le faire de deux manières. L’une consiste à laisser le filtre de configuration SSH filtrer et l’autre à utiliser _pam_access_.

Utilisation de la configuration SSH

Pour _/etc/ssh/sshd_config_, ajoutez une ligne AllowGroups:

_AllowGroups Domain Admin
_

De la page de manuel :

_AllowGroups
    This keyword can be followed by a list of group name patterns,
    separated by spaces.  If specified, login is allowed only for
    users whose primary group or supplementary group list matches one
    of the patterns.
_

_Domain Admin_ ici ne correspond pas à _Domain Admin_ le nom du groupe, mais deux groupes distincts Domain et Admin. Vous devrez utiliser quelque chose comme _Domain*Admin_ et _*it_admin_, car ni (espace) ni (_#_) ne sont généralement des caractères valides dans des groupes Linux. Pour être plus sûr, utilisez _?_ au lieu de _*_: _Domain?Admin_ et _?it_admin_, de sorte qu'un seul caractère soit autorisé par le caractère générique. Vous pouvez également ajouter une section DenyGroups basée sur un modèle. Voir la section PATTERNS dans man ssh_config .

Utilisation de _pam_access_

Ajoutez des lignes à _/etc/security/access.conf_ du formulaire:

_- : ALL EXCEPT (Domain) (Admin) : ALL
_

Il y a beaucoup de commentaires dans ce fichier qui expliquent comment l'utiliser. man pam_access est assez simple, donc la plupart des informations proviendraient de ces commentaires. _pam_access_ est plus puissant en ce sens qu'il peut également contrôler les connexions non-SSH (TTY, GUI, etc.). Cette ligne particulière, par exemple, devrait interdire à tout utilisateur qui ne possède pas Domain ou Admin en tant que groupe de se connecter (à moins que d'autres lignes ne le permettent).

Les deux approches sont assez flexibles, et je ne connais pas le pour et le contre, donc pas de recommandations.