通過 access.conf 中的使用者組限制登錄

我一直在努力讓 /etc/security/access.conf 按預期工作，到目前為止，每個使用者仍然可以登錄。詳情如下。

我將以下行添加到 /etc/pam.d/login

account required pam_access.so

我還在 /etc/security/access.conf 中添加了以下幾行

+ : root : ALL
+ : group_name : ALL
- : ALL : ALL

group_name 是我們的 LDAP 伺服器 (FreeIPA) 中的一個組。任何使用者仍然可以登錄，無論他們是否是 ${group_name} 的一部分。我可以通過 SSH 連接到伺服器，而不會遇到任何使用者的任何問題。有人可以幫助指出我不正確的地方嗎？我正在執行 RHEL 6.5。謝謝

來自man access.conf：

登錄訪問控製表的每一行有三個欄位，用“:”字元（冒號）隔開： permission:users/groups:origins

第一個欄位，權限欄位，可以是“+”字元（加號）表示允許訪問，也可以是“-”字元（減號）表示拒絕訪問。

第二個欄位，使用者/組欄位，應該是一個或多個登錄名、組名或 ALL（始終匹配）的列表。為了區分使用者條目和組條目，組條目應該用括號書寫，例如（組）。

所以你/etc/security/access.conf應該看起來像這樣：

+ : root : ALL
+ : (group_name) : ALL
- : ALL : ALL

引用自：https://unix.stackexchange.com/questions/270036