Ограничьте su пользователем домена в Linux Winbind/Kerberos интеграция AD
Как Вы копируете свои данные через Ваши узлы хранения? Я предполагаю, что у Вас есть Apache, служащий Вашему веб-контенту из того же каталога на узлах хранения...
Мы работаем над установкой чего-то подобного, но я скорее расстроен в выяснении способа копировать данные без задержки через узлы хранения.
Идеи?
Я считаю, что первая строка в /etc/pam.d/su выглядит так:
auth sufficient pam_rootok.so
Другими словами, когда вы su пытается разрешить вам стать jdoe, все в порядке.
Что вы можете сделать, так это добавить строку pam_succeed_if в /etc/pam.d/su или, что еще лучше, добавить запись в /etc/pam.d/system-auth , но измените его так, чтобы auth стал сеансом следующим образом:
session requisite pam_succeed_if.so user ingroup ad_group debug
Это сработает даже в ситуации который вы описали, и не позволит пользователю из не ad_group когда-либо открывать оболочку. Это также имело бы нежелательный побочный эффект запрета root открывать оболочку (как указано в комментариях), поэтому вам может потребоваться применить его только для идентификаторов пользователей в правильном диапазоне:
session [default=1 success=ignore] pam_succeed_if.so quiet uid >= 1000
session requisite pam_succeed_if.so user ingroup ad_group debug
By способ,