То, как включить автору LDAP для SFTP, входит в систему только

Я не думаю, что вы могли бы ограничить это в pam, но если вы сделаете всех пользователей, которых хотите, чтобы ограничить членов одной группы, вы можете ограничить ssh то, что эти пользователи могут делать через сопоставление группа бла.

Если я правильно понял ваш вопрос, вы хотите предоставить услугу только sftp (то есть не использовать интерактивный вход через ssh ) .

Вы можете заставить соединения использовать службу sftp , добавив это в свой sshd_config файл:

ForceCommand internal-sftp

Это задокументировано на странице руководства sshd_config :

ForceCommand
  Forces the execution of the command specified by ForceCommand, ignoring any
  command supplied by the client and ~/.ssh/rc if present.  The command is
  invoked by using the user’s login shell with the -c option.  This applies to
  shell, command, or subsys- tem execution.  It is most useful inside a Match
  block.  The command originally supplied by the client is available in the
  SSH_ORIGINAL_COMMAND environment variable.  Specifying a command of
  “internal-sftp” will force the use of an in-process sftp server that requires
  no support files when used with ChrootDirectory.

Вы можете изменить /etc/pam.d/sshd , чтобы настроить sshd для использования обычного модуля pam_ldap , а не модуля pam , предоставленного Centrify .

После внесения этих изменений в конфигурацию sftp соединения будут использовать обычную LDAP аутентификацию, а интерактивные оболочки будут недоступны.