2.2.6. Limitar Conexiones SSH a Grupos de LDAP

Edite /etc/pam.d/sshd con un editor de texto y acceso de root.

nano /etc/pam.d/sshd

Encuentre la línea que contiene «account include common-account» y coméntela poniendo un # al principio

Advertencia

Comentar esta línea previene que inicie sesión «cualquier usuario».

# Standard Un*x authorization.
#@include common-account

Bajo la última línea de account, añada el siguiente parámetro para cada grupo que desee otorgarle acceso:

account sufficient pam_succeed_if.so user ingroup [shortdomain\group]

Finalmente añada lo siguiente bajo el último grupo de dominio. Esto permite que el grupo de admin original inicie sesion.

(Es buena idea permitir que algunos usuarios locales inicien sesión, ya que una pérdida de red puede producir inconvenientes para acceder. Es básicamente un anti-lockout).

account sufficient pam_succeed_if.so user ingroup [adminuser]

Pruebe los cambios conectándose por SSH (intente evitar auto-bloquearse del servidor!)