Dan Lukes wrote on 2017/04/05 00:02:
Ale pokud mas sshd nakonfigurvane tak aby pouzivalo PAM muzes byt
uspesny v nem. Je flexibilnejsi. Ale zas tak do hloubky ho nastudovany
nemam abych si byl jistej, ze to pujde poskladat s existujicimi moduly.
V krajnim pripade si napises PAM modul, do kteryho si zadradujes takovou
logiku jakou budes chtit. Takovej modul je celkem jednoduchej a na par
radek.
Premyslel jsem jeste o tom, ze bych pustil ssh na dalsim portu s jinou
kombinaci jen pro tohoto uzivatele (je to uzivatel pro orchestraci,
takze je jedno, na jakem portu to pobezi)
Ale nakonec jsem to obesel pomoci bloku Match v sshd_config
# globalni povoleni uzivatelu odkudkoliv ze skupiny staff
AllowGroups sshstaff
# dva bloky Match pro dve ruzne IP adresy
Match Address 1.2.3.4
AllowGroups staff mgmt
Match Address 5.6.7.8
AllowGroups staff mgmt
A vyuziva se toho, ze ten uzivatel mgmt ma i svoji skupinu mgmt.
Vypada to, ze takhle to dela to, co jsem potreboval.
Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
