sshd restrict groups

Debian GNU/Linux

Sziasztok!

Debian wheezy rendszeren ez alapján össze lőttem az AD authentikálást a linuxra http://www.digitalllama.net/2013/05/join-debian-wheezy-to-windows-activ…
A samba része most nem érdekes
Szeretném az sshd beállítani, hogy csak egy helyi csoport és egy AD group tudjon belépni.
sshd pam authra van állítva.
Ha jól sejtem az /etc/pam.d/sshd fájlt kell jól beállítsam, de nem találom a megfelelő beállítást, ebben kérném a segítségeteket.
Amit eddig próbáltam:
Ez működik, :auth requisite pam_succeed_if.so user ingroup DOMAIN\group
de nekem a DOMAIN\group mellé kéne még valami localgrouppot is felvennem.
szerk1.: DOMAIN\group helyett meg jó volna gid-t használni, de valamiért a auth requisite pam_succeed_if.so gid eq 100066 nem megy :( (eq helyett =-vel sem.)

szerk2.: itt az 1. megoldás: ( kallo | 2013. november 7., csütörtök - 17:30 )

  • 5921 megtekintés

( lovagX | 2013. 11. 07., cs – 16:36 )

Sshd configban a AllowGroups nem egyszerubb?

nssswitch.conf -ban legyenek ott a winbind -es sorok. A samba konfigban a use default domain = yes legyen ott. Ha a getent passwd|groups visszaadja a helyi ÉS AD user és csoport listát, akkor jó vagy. Simán AllowGroups csoport1 csoport2 formában jó leszel, de esetleg kellhet a DOMAIN\ elé.

Rálesek erre amit írtál, allowgroupsba meg tudok majd adni gid|sid-et? mert félek attól, hogy később valaki át nevezni a csoportot, gid|sid-el lenne számomra a legmegnyugtatóbb.
egyelőre ezzel működik, de nem úgy ahogy szeretném-:
auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/ssh/login.group.allowed
csak ebbe a fránya /etc/ssh/login.group.allowed fájlba nem eszi meg a gid|sid-et.
szerk.:andrej_: működik amit írtál, de csak ha nem írok elé DOMAIN\ és a gid|sid páros egyikét sem eszi meg, ha más nincs így marad, ez szimpatikusabb megoldás mint az én pam modulos megoldásom.

( mr shadow v | 2013. 11. 08., p – 09:12 )

sub
--
>'The time has come,' the Walrus said<