PAM - запретить пользователю вход в систему

[Alexi55555]

Лучей Добра!
волнует вопрос такого рода: необходимо некоторым пользователям (лучше кончено создать группу и поместить всех в группу, а далее управлять группой) запретить входить в систему. Теперь конкретнее - есть домен, есть терминальный сервер на убунте, на терминальнике стоит самба. самба в домене. я могу получить список пользователей и групп из домена. Хорошо, настроил локальный вход доменных пользователей в Ubuntu. входить могут (тока не всех видит). ранее упоминалось, что вместе с самбой стоит терминальный сервер. нужно ограничить  вход доменных польователей (локально, или по xrdp).
вычитал, что можно организовать это с помощью PAM. при прочтении статей по PAM, вроде бы и понятно что пишут, но понимания что где и зачем нету. поэтому прошу помощи у Вас.

пробовал такое вот: в файл /etc/security/access.conf добавил следующую строчку: -:ALL except alexi:ALL
в моем понимании эта строчка означате: запретить вход в систему всем, кроме alexi из всех возможных мест.
НО, этой  не работает. могу заходить под любым пользователем. (в системе пользователей достаточно, alexi не единственный)

[Karl500]

Прочтите внимательно man http://linux.die.net/man/5/access.conf - там есть примеры. Ну и - ключевое слово EXCEPT а не except. И учтите, что так Вы рубите сук, на котором сидите - если у этого пользователя нет прав sudo, то...

UPD: Забыл еще: а Вы включили сам access.conf в pam.d/common-auth ?

auth required pam_access.so

[Alexi55555]

Прочтите внимательно man http://linux.die.net/man/5/access.conf - там есть примеры. Ну и - ключевое слово EXCEPT а не except. И учтите, что так Вы рубите сук, на котором сидите - если у этого пользователя нет прав sudo, то...

За EXCEPT спасибо. голова под конец дня совсем с ума посходила(хрень какую то городит и думать мешает). В смысле рублю сука на котором сижу??? в моем случае права sudo будут только у юзера alexi. они у него есть. у всех остальных их нету, ды им и не нужно такого раздолья. в основном нужно доменным пользователям запретить вход, НО только некоторым оставить такую возможность.

[Karl500]

Я чуть добавил - там еще одну вещь надо сделать.

[Alexi55555]

я включил такую строчку в файле /etc/pam.d/login
в нем так и написано, раскомментируйте и правте файл access.conf

[Karl500]

А Вы учитываете, что порядок строк тоже важен? Если к моменту прохождения этой строки уже логин был разрешен другой строкой (какой-нибудь из sufficient) - то она и не сработает.

[Alexi55555]

ды в том то и дело что не понимаю. читал пол дня про PAM. вроде бы ничего сложного. хоть убей не понимаю. как то все написано не для моей головы. татаро-монгольским налетом не освоишь. где бы найти хороший ман про PAM. больше всего понравился во этот  "http://www.ibm.com/developerworks/ru/library/l-pam/index.html?S_TACT=105AGX99&S_CMP=GR01". но мало этого. примеров, и разъяснений использования для конкретных ситуаций нет

[Karl500]

Ну, я вот по-быстрому проверил - все работает. Вставил строку

auth required pam_access.so

в начало common-auth, потом - строку

- : ALL EXCEPT vvv : ALL

в access.conf и проверил - никто кроме vvv зайти не может.

[Alexi55555]

Ну, я вот по-быстрому проверил - все работает. Вставил строку

auth required pam_access.so

в начало common-auth, потом - строку

- : ALL EXCEPT vvv : ALL

в access.conf и проверил - никто кроме vvv зайти не может.

ок. щас сделаю тоже самое. проверю, как оно
Пользователь решил продолжить мысль 14 Марта 2013, 18:25:41:в общем доигрался я. вставил строку аuth required pam_access.so в файлик. все, теперь зайти ни под кем не могу.
в файле access.conf прописано то же самое (смотрите начало темы)  ((((
хорошо что на виртуалке. и снапшот где то лежит. недавно делал


хотя нет. вспомнил(чуток походил и вспомнил) в файле access.conf я добавил еще одну строчку в конце. там запрещалось всем и все и отовсюду. esxi спасет меня )))
Пользователь решил продолжить мысль 14 Марта 2013, 18:33:30:подождите, не уходите. еще вопрос. это вот с одним пользователем, можно с двумя, тремя. а как быть с группой??? группа доменная (наверн без разницы какая она, доменная или локальная). в итоге хочу получить, чтобы только определенная группа и одни пользователь могли подключаться к терминальнику. с пользователем получилось.

[Karl500]

С группой так же, только имя группы брать в скобки:

- : ALL EXCEPT (mygroup) : ALL

[Alexi55555]

Karl500, Спасибо большое, помогло.
Вы можете посоветовать литературу более менее понятную по PAM? может где то встречалась такая ...

[Karl500]

Честно говоря, нет - мне в свое время было достаточно man и содержимого файлов pam. Ну и - эксперименты...