Я должен ограничить доступ во время входа для некоторых пользователей. Я погуглил и обнаружил, что это возможно с модулями pam и time.conf.
Мой вопрос: можно ли сделать то же самое, но с группами, поэтому вместо работы с пользователями просто собрать этих пользователей и установить ограниченное время входа в эту группу?
Я использую сервер ldap с centos7.
Да, это можно сделать с помощью комбинации pam_listfile
и pam_time
. Вам нужно будет заполнить детали, но вот скелет в вашем pam.conf
auth [success=1 default=ok] pam_listfile.so item=group sense=deny file=/path/to/restricted/groups onerr=fail
account required pam_time.so ...
success = 1
означает, что если этот модуль вернет успех, то пропустите следующий 1 модуль. Т.е. если пользователь не входит ни в одну из запрещенных групп, не запускайте pam_time.so, в противном случае запускайте его.