Существует ли способ использовать netgroups или некоторую другую конфигурацию, чтобы позволить нашим членам команды аутентифицировать использование сервера NIS, но все еще ограничивать доступ ко всем другим пользователям?
Это в значительной степени, почему netgroups существуют.
Самое легкое решение сделать, что Вы хотите, состоит в том, чтобы использовать
compat
функциональностьnsswitch.conf
. Это документируется - кратко и плохо - вnsswitch.conf(5)
:Взаимодействие с +/-синтаксис (разделяют режим),
... В/etc/passwd у Вас могли быть записи формы +user, или + @netgroup (включайте указанного пользователя от NIS passwd карта), - пользователь или -@netgroup (исключите указанного пользователя), и + (включайте каждого пользователя, кроме исключенных, от NIS passwd карта).
На практике это означает это если Ваш
nsswitch.conf
похож на это:passwd: compat
И Ваш
/etc/passwd
концы со строкой как это:+@myusers
Затем только члены
myusers
netgroup сможет пройти проверку подлинности к системе.Можно выполнить что-то подобное использование
pam_listfile
модуль в Вашей конфигурации PAM и ограничениях создания на основе группы (а не netgroup) членство. Это хорошо, если у Вас есть группы и netgroups, который Вы пытаетесь сохранить в синхронизации (потому что теперь можно просто использовать стандартные группы Unix). Этот документ имеет пример ограничения логинов определенного использования группpam_listfile
.
Похоже, вы можете использовать% h, который использует указанный домашний каталог, поэтому в моем случае:
ChrootDirectory %h
Другой проблемой является требование, чтобы папка контейнера принадлежала пользователю root, если кто-то споткнется через это.