我们公司有一个中央NISconfiguration,我们用来访问我们的团队服务器(Redhat)…
当前configuration允许所有有效的NISauthentication用户连接到我们的服务器。 我们无法更新或更改NIS主服务器上的内容…所以…
有没有办法使用networking组或其他configuration来允许我们的团队成员使用NIS服务器进行身份validation,但仍然限制访问所有其他用户?
谢谢!
有没有办法使用networking组或其他configuration来允许我们的团队成员使用NIS服务器进行身份validation,但仍然限制访问所有其他用户?
这就是为什么netgroups存在。
做你想做的最简单的解决scheme是使用nsswitch.conf的compatfunction。 在nsswitch.conf(5)logging了这一点:
与+/-语法的交互(compat模式)
…在/ etc / passwd中,可以使用+ user或+ @ netgroup(包括NIS passwd映射中指定的用户),-user或 – @ netgroup(不包括指定的用户)和+除了被排除的用户外,每个用户都从NIS passwd映射中获得)。
实际上,这意味着如果你的nsswitch.conf如下所示:
passwd: compat
而你的/etc/passwd以这样一行结束:
+@myusers
那么只有myusersnetworking组的成员才能够对系统进行身份validation。
您可以使用PAMconfiguration中的pam_listfile模块完成类似的工作,并根据组(而不是networking组 )创build限制。 如果你试图保持同步的组和networking组,这是很好的(因为现在你可以使用标准的Unix组)。 本文档有一个使用pam_listfile限制login到特定组的例子。