上下文
我想将一些AD用户限制为特定的脚本,限制他们在这台特定的机器上可以做什么.
因此,我不想用/ bin / bash(例如)连接它们,而是强迫它们使用/ path / to / my / script.这些用户位于特定的AD组中.
其他人应该能够使用真正的shell.
经典的方式
如果那些本地用户所在的用户,我只需更改/ etc / passwd中的shell字段.
sssd方式
有没有办法只为该组的成员提供不同的shell值?
如果没有,你会怎么做?
实现此目标的一种方法是声明多个域,将第一个域限制为仅给定组的成员.
原文链接:/bash/385914.html[sssd] config_file_version = 2 services = nss,pam domains=DOMAIN_GROUP1,DOMAIN_GROUP2,DOMAIN [nss] default_shell = /bin/bash [domain/DOMAIN_GROUP1] id_provider = ad # Domain ad_domain = domain.local # Servers ad_server = dc01.domain.local,dc02.domain.local,dc03.domain.local # Restrict to group members ldap_user_search_base = DC=domain,DC=local?subtree?(memberOf=CN=group1,OU=Groups,DC=domain,DC=local) # Shell override_shell = /shell/path/for/group1 # Homedir override_homedir = /home/%u [domain/DOMAIN_GROUP2] id_provider = ad # Domain ad_domain = domain.local # Servers ad_server = dc01.domain.local,DC=local?subtree?(memberOf=CN=group2,DC=local) # Shell override_shell = /shell/path/for/group2 # Homedir override_homedir = /home/%u [domain/DOMAIN] id_provider = ad # Domain ad_domain = domain.local # Servers ad_server = dc01.domain.local,dc03.domain.local # Homedir override_homedir = /home/%u
group1的成员使用/ shell / path / for / group1,group2的成员使用/ shell / path / for / group2,所有其他DOMAIN用户使用/ bin / bash
缺点是如果用户是两个组的成员:它将始终属于第一个“域”DOMAIN_GROUP1.
编辑:使用ldap_user_search_base而不是弃用的ldap_user_search_filter.它应该在更新版本的sssd上工作.
