web-dev-qa-db-ja.com

NISクライアント(Redhat)でネットグループを使用してアクセスを制限できますか?

当社には、チームサーバー(Redhat)へのアクセスに使用している中央NIS構成があります...

現在の構成では、すべての有効なNIS認証ユーザーがサーバーに接続できます。 NISマスターサーバーで何かを更新または変更することはできません...だから...

ネットグループまたはその他の構成を使用して、チームメンバーがNISサーバーを使用して認証できるようにする一方で、他のすべてのユーザーへのアクセスを制限する方法はありますか?

ありがとう!

1
sdmythos_gr

ネットグループまたはその他の構成を使用して、チームメンバーがNISサーバーを使用して認証できるようにする一方で、他のすべてのユーザーへのアクセスを制限する方法はありますか?

これが、ネットグループが存在する理由です。

必要なことを行う最も簡単な解決策は、_nsswitch.conf_のcompat機能を使用することです。これは、nsswitch.conf(5)に-簡単にそして不十分に-文書化されています。

+/-構文との相互作用(互換モード)

.../etc/passwdには、+ userまたは+ @ netgroup(NIS passwdマップから指定されたユーザーを含める)、-userまたは-@ netgroup(指定されたユーザーを除く)、および+(含む)の形式のエントリを含めることができます。 NIS passwdマップから除外されたユーザーを除くすべてのユーザー)。

実際には、これは、_nsswitch.conf_が次のようになっていることを意味します。

_passwd: compat
_

そして、あなたの_/etc/passwd_は次のような行で終わります:

_+@myusers
_

そうすると、myusersネットグループのメンバーだけがシステムに対して認証できるようになります。

PAM構成で_pam_listfile_モジュールを使用し、(netgroupではなく)メンバーシップに基づいて制限を作成することで、同様のことを実行できます。同期を維持しようとしているグループとネットグループがある場合、これは素晴らしいことです(これで、標準のUnixグループを使用できるようになりました)。 このドキュメント には、_pam_listfile_を使用して特定のグループへのログインを制限する例があります。

2
larsks