cockpit(Linux 서버 관리 도구)의 로컬 사용자 제한
PAM은 access입니다.conf(5)는 사용자/그룹/IP를 제한하기 때문에 이를 사용하여 cockpit에 로그인할 수 있는 사용자를 제한할 수 있습니다.
PAM 설정
설치 후
/etc/pam.d/cockpit
완료적절한 편집기를 사용하여pam_ 편집access.소행을 추가합니다.
accessfile=path/to/access.config
없어도 괜찮아.지정하지 않으면 /etc/security/access.conf
를 사용합니다./etc/pam.d/cockpit
#%PAM-1.0
# this MUST be first in the "auth" stack as it sets PAM_USER
# user_unknown is definitive, so die instead of ignore to avoid subsequent modules mess up the error code
-auth [success=done new_authtok_reqd=done user_unknown=die default=ignore] pam_cockpit_cert.so
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
auth optional pam_ssh_add.so
account required pam_nologin.so
account required pam_access.so accessfile=/etc/security/cockpit_access.conf ★この行を追加
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session optional pam_ssh_add.so
session include password-auth
session include postlogin
추가할 위치는 account include password-auth
이전이어야 합니다.이 순서를 바꾸면
account include password-auth
에서 읽은password-auth에sufficient 줄이 포함되어 있기 때문에 인증에 성공한 후에 쓴 제한을 평가하지 않습니다.access.conf 구성
accessfile에서 지정한 경로에access가 있습니다.conf(5) 형식으로 파일을 준비합니다.
예를 들어 cockpit 그룹을 만들고 이 그룹에 들어간 사용자만 로그인할 수 있도록 할 때 다음과 같이 하십시오.
/etc/security/cockpit_access.conf
-:ALL EXCEPT (cockpit):LOCAL
쓰기는 <permission>:<user or group>:<access>
- <permission>
"-"(허용) 또는 -
(거부)-user 또는 group 이름, ALL은 모든 사용자 또는 그룹을 나타내며, EXCEPT는 다음 사용자 그룹을 제외합니다.
- 그룹일 때
()
넣는 게 좋아요?-
ALL EXCEPT (cockpit)
cockpit에 속하는 사용자를 제외한 모든 사용자를 대상으로-
<from>
액세스 소스-cockpit 시 LOCAL만 사용(?)
확인
로그인
Permission Denied
후 성공Reference
이 문제에 관하여(cockpit(Linux 서버 관리 도구)의 로컬 사용자 제한), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/s11600228/items/92d71d89ca8cc9540193텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)