Active Directory 도메인에 가입된 Centos7 시스템이 있습니다. 문제는 Centos7 서버에 로그인하면 세션 내 Active Directory 도메인의 모든 사용자 이름과 상호 작용할 수 있다는 것입니다.
사용자가 특정 그룹에 속하지 않는 한 SSH를 통한 액세스를 거부할 수 있지만 사용자가 수행하는 작업을 수행할 수는 없습니다.
su - different_user
different_userActive Directory의 사용자는 어디에 있습니까?
모듈을 사용하면 이것이 가능할 수도 있다고 생각 pam하지만 어떤 모듈을 사용해야 할지 모르겠습니다. 나는 이것을 시도했고 이로 인해 모든 사용자가 다른 사용자 계정을 사용할 pam_required.so수 없게 되었습니다 . su접근 권한이 있어야 하는 사람도 마찬가지입니다.
답변1
su특정 사용자만 명령의 대상이 되도록 허용하려면 다음을 입력하면 됩니다 /etc/pam.d/su.
auth requisite pam_listfile.so onerr=fail item=user sense=allow file=/etc/su-users
auth required pam_unix.so
이제 한 줄에 한 명의 사용자가 포함된 파일을 생성하면 파일에 나열된 사용자 /etc/su-users만 '편집'할 수 있습니다 .su