настройка аутентификации в sshd_conf

[cOnf_ua]

Добрый день, уважаемые!

Возник вопрос относительно возможностей конфига sshd_conf. А именно интересуют директивы: DenyUsers, AllowUsers, DenyGroups, AllowGroups.

По мануалу: эти директивы проверяются в том же порядке, в каком их привел я.

Так вот возникает вопрос - как добиться того, чтобы множество пользователей описанных директивой AllowUsers и множество пользователей попавших в группы описанных AllowGroups имели возможность логироваться? В том смысле, что на практике если в конфиге есть директива AllowUsers и AllowGroups, то доступ имеют только те пользователи, которые присутствуют и там и там одновременно, то есть доступ имеет пересечение двух множеств.

В моем конкретном случае конфиг настроен на использование групп пользователей. Но появилась необходимость дать доступ пользователю с привязкой к хосту, это можно сделать так:

Код: [Выделить]

AllowUsers user@host
Но добавив эту запись я автоматически теряю гибкость директивы AllowGroups, проверено. Есть ли какой-то обход этой грабли? То есть как реализовать доступ объединению двух множеств - множества разрешенных пользователей и множества разрешенных групп, а не их пересечению как это реализовано по дефолту...

Пробовал задействовать директиву  DenyUsers (вместо AllowUsers) в таком виде:

Код: [Выделить]

DenyUsers user@!host
Но почему-то все равно пускает со всех хостов...

Буду благодарен за любые идеи.

[cOnf_ua]

up

[AnrDaemon]

Главный вопрос - зачем это делать?
Есть туева хуча более простых способов ограничить пользователя в терминальной сессии.

[cOnf_ua]

а что у меня такая сложная задача стоит чтобы туеву хучу более простых способов задействовать?

казалось бы что может быть проще: пускать группы пользователей и сделать одно исключение с конкретным пользователем.

[AnrDaemon]

Проще - не делать исключений.