PAMLDAPを使用してRHELでユーザーアカウントをロックする
ここにエッジケースが少しあります。私の教育機関には、学生がログインして作業を行うことができるRHELサーバーがあります。アカウントはLDAPに保持され、サーバーはPAMとLDAPを使用して認証します。学年度の終わりに、このサーバーで学生アカウントをロックする必要があります。つまり、学生アカウントはそのまま保持しますが、そのユーザーはログインできません。passwd -lとusermod -Lを試しましたが、両方でユーザーが引き続きログインできる場合。
PAM LDAPで機能するアカウントをロックする方法はありますか?
これは、グループACLを使用して実現できます。 common-authファイルに次の行を追加します。
auth required pam_access.so
セットアップします。次に、グループ(LDAPの場合もあります)を使用して、明示的な拒否を設定できます。明示的な許可を取得するには、意味を逆にします。これは、生徒を削除することが許可されていない場合に適しています。
-:ALL EXCEPT root grp-retired-students:ALL EXCEPT LOCAL