cockpit(Linux 서버 관리 도구)의 로컬 사용자 제한

2559 단어 LinuxcockpitPAM
cockpit은 로컬 사용자 인증을 위해 PAM(8)을 사용합니다.
PAM은 access입니다.conf(5)는 사용자/그룹/IP를 제한하기 때문에 이를 사용하여 cockpit에 로그인할 수 있는 사용자를 제한할 수 있습니다.

PAM 설정


설치 후 /etc/pam.d/cockpit 완료
적절한 편집기를 사용하여pam_ 편집access.소행을 추가합니다.accessfile=path/to/access.config없어도 괜찮아.지정하지 않으면 /etc/security/access.conf 를 사용합니다.
/etc/pam.d/cockpit
#%PAM-1.0
# this MUST be first in the "auth" stack as it sets PAM_USER
# user_unknown is definitive, so die instead of ignore to avoid subsequent modules mess up the error code
-auth      [success=done new_authtok_reqd=done user_unknown=die default=ignore]   pam_cockpit_cert.so
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
auth       optional     pam_ssh_add.so
account    required     pam_nologin.so
account    required     pam_access.so accessfile=/etc/security/cockpit_access.conf ★この行を追加
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    optional     pam_ssh_add.so
session    include      password-auth
session    include      postlogin
추가할 위치는 account include password-auth 이전이어야 합니다.
이 순서를 바꾸면 account include password-auth 에서 읽은password-auth에sufficient 줄이 포함되어 있기 때문에 인증에 성공한 후에 쓴 제한을 평가하지 않습니다.

access.conf 구성


accessfile에서 지정한 경로에access가 있습니다.conf(5) 형식으로 파일을 준비합니다.
예를 들어 cockpit 그룹을 만들고 이 그룹에 들어간 사용자만 로그인할 수 있도록 할 때 다음과 같이 하십시오.
/etc/security/cockpit_access.conf
-:ALL EXCEPT (cockpit):LOCAL
쓰기는 <permission>:<user or group>:<access>- <permission> "-"(허용) 또는 - (거부)
-user 또는 group 이름, ALL은 모든 사용자 또는 그룹을 나타내며, EXCEPT는 다음 사용자 그룹을 제외합니다.
- 그룹일 때 () 넣는 게 좋아요?
- ALL EXCEPT (cockpit) cockpit에 속하는 사용자를 제외한 모든 사용자를 대상으로
- <from> 액세스 소스
-cockpit 시 LOCAL만 사용(?)

확인


로그인Permission Denied 후 성공

좋은 웹페이지 즐겨찾기