sshd AllowUsers + AllowGroups

Question

背景:我们为用户部署了大约500个linux (Ununtu20.04)资源。我们使用sssd进行身份验证，ID提供者是AD。通过在AllowUsers中配置sshd_config，我们允许每个用户只对他们的系统进行ssh。前面的管理员也配置了用于远程访问的root和ansible用户。他们为root用户和ansible用户设置ssh键。

问题:我不喜欢他们目前如何把ssh系统作为任何形式的支持的根。我在AD: admingroup中设置了一个组，并将管理员的用户名添加到该组中，以便他们可以使用自己的帐户登录到系统。我也在AllowGroups中定义了sshd_conf管理组。

我遇到的问题是，在AllowUsers中定义的最终用户不是AllowGroup中定义的管理组的一部分。这最终会阻止所有ssh访问。

据我所知，如果我正在定义AllowUsers和AllowGroups，那么上述用户名就需要成为管理员组的一部分。否则就没人能向系统汇报了。我的理解正确吗？

如果是，那么我将如何为管理员添加对我所有linux资源的ssh访问，同时仍然只允许将资源分配给它的单个用户。

如有任何帮助/指导，将不胜感激。

Answer 1

好的，一旦我问了这个问题，我就跑到了一些线程中，这些线程解决了这个问题。

在sshd_config中，注释掉AllowUsers和AllowGroups行，并在配置的最末端(这一点很重要)添加以下内容并重新启动sshd服务

Match Group <group name>
    AllowUsers <end user>