我是否可以在NIS客户端(Redhat)使用netgroup来限制对它的访问？

Question

我们公司有一个中央NIS配置，我们正在使用它访问我们的团队服务器(Redhat).

当前配置允许所有经过身份验证的有效NIS用户连接到我们的服务器。我们不能更新或更改NIS主服务器上的某些内容.所以..。

是否有一种方法可以使用netgroup或其他配置来允许我们的团队成员使用NIS服务器进行身份验证，但仍然限制对所有其他用户的访问？

谢谢!

Answer 1

是否有一种方法可以使用netgroup或其他配置来允许我们的团队成员使用NIS服务器进行身份验证，但仍然限制对所有其他用户的访问？

这就是网络群存在的原因。

您想做的最简单的解决方案是使用compat的nsswitch.conf功能。这在nsswitch.conf(5)中有记录--简略和糟糕--包括：

与+/-语法(compat模式) ...In /etc/passwd交互您可以有表单+ user或+@netgroup (从NIS映射中包含指定用户)、-user或-@netgroup (不包括指定用户)和+(包括每个用户，排除排除的用户)。

实际上，这意味着如果您的nsswitch.conf如下所示：

passwd: compat

您的/etc/passwd以如下一行结尾：

+@myusers

然后，只有myusers网组的成员才能对系统进行身份验证。

您可以在PAM配置中使用pam_listfile模块来完成类似的任务，并根据组(而不是netgroup)成员资格创建限制。如果您想保持组和netgroup保持同步(因为现在您只需要使用标准的Unix组)，这是很好的。本文件有一个使用pam_listfile限制特定组登录的示例。