https://opennet.me/openforum/vsluhforumID14/2443.html Приветствую. Не удается настроить ограничение прав для доменных юзеров в Ubuntu 10.04, машина успешно введена в домен (настроено через Samba+Winbind+Kerberos). Команды<br>wbinfo -u<br>wbinfo -g<br>выдают правильный результат, могу залогиниться любим доменным или локальным пользователем на Ubuntu. Надо ограничить таких пользователей. Неудачно пробовал реализовать это через PAM. Мб есть альтернативные способы ограничения?<br><br><br>Конфиги: /etc/security/group.conf<br>gdm;*;linuh;Al0000-2400;floppy # linuh - доменный аккаунт<br><br>nano /etc/pam.d/gdm<br>auth requisite pam_group.so <br>auth requisite pam_nologin.so<br>auth required pam_env.so readenv=1<br>auth required pam_env.so readenv=1 envfile=/etc/default/locale<br>auth sufficient pam_succeed_if.so user ingroup nopasswdlogin<br>@include common-auth<br>auth optional pam_gnome_keyring.so<br>@include common-account<br>session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close<br>session r https://opennet.me/openforum/vsluhforumID14/2443.html#6 Wed, 20 Apr 2011 08:47:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt; account required pam_access.so <br>&gt;&gt; account sufficient pam_localuser.so <br>&gt;&gt; account sufficient pam_succeed_if.so uid &lt; <br>&gt;&gt; 500 quiet <br>&gt;&gt; account sufficient pam_winbind.so <br>&gt;&gt; account required pam_permit.so <br>&gt;&gt; cat /etc/security/access.conf <br>&gt;&gt; - : ALL except jack root : ALL <br>&gt;&gt; man pam_access <br>&gt; Это действительно помогло, огромное спасибо.<br><br>С пользователями работает отлично, с группами не хочет. Записываю так:<br>- : ALL except (domain_group) local_user root : ALL <br><br><br> https://opennet.me/openforum/vsluhforumID14/2443.html#5 Tue, 19 Apr 2011 14:07:13 GMT &gt;[оверквотинг удален]<br>&gt; account required pam_unix.so <br>&gt; account required pam_access.so <br>&gt; account sufficient pam_localuser.so <br>&gt; account sufficient pam_succeed_if.so uid &lt; <br>&gt; 500 quiet <br>&gt; account sufficient pam_winbind.so <br>&gt; account required pam_permit.so <br>&gt; cat /etc/security/access.conf <br>&gt; - : ALL except jack root : ALL <br>&gt; man pam_access <br><br>Это действительно помогло, огромное спасибо.<br> https://opennet.me/openforum/vsluhforumID14/2443.html#4 Tue, 19 Apr 2011 13:09:37 GMT &gt;&gt; man sshd_config <br>&gt;&gt; AllowGroups <br>&gt;&gt; AllowUsers <br>&gt; Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем <br>&gt; случае)?<br><br>Это уже в паме смотрите, ответ ниже.<br> https://opennet.me/openforum/vsluhforumID14/2443.html#3 Tue, 19 Apr 2011 12:59:35 GMT &gt; man sshd_config <br>&gt; AllowGroups <br>&gt; AllowUsers <br><br>Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем случае)?<br><br> https://opennet.me/openforum/vsluhforumID14/2443.html#2 Tue, 19 Apr 2011 12:27:23 GMT system-auth<br>account required pam_unix.so<br>account required pam_access.so<br>account sufficient pam_localuser.so<br>account sufficient pam_succeed_if.so uid &lt; 500 quiet<br>account sufficient pam_winbind.so<br>account required pam_permit.so<br><br>cat /etc/security/access.conf<br>- : ALL except jack root : ALL<br><br>man pam_access<br> https://opennet.me/openforum/vsluhforumID14/2443.html#1 Tue, 19 Apr 2011 12:16:58 GMT &gt;[оверквотинг удален]<br>&gt; close <br>&gt; session required pam_limits.so <br>&gt; @include common-session <br>&gt; session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so <br>&gt; open <br>&gt; session optional pam_gnome_keyring.so auto_start <br>&gt; @include common-password <br>&gt; в /etc/pam.d/common-session добавил только одну строку <br>&gt; session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 <br>&gt; остальные конфиги pam не правил.<br><br>man sshd_config <br><br>AllowGroups<br>AllowUsers<br>