Acciones de Documento
denegación de accesos a grupos completos
Volver al foro (Usando Guadalinex 1.0)-
Hola.
He estado buscando y no consigo encontrar cómo denegar el acceso a un grupo de usuarios. Me explico. Varios usuarios que tienen acceso al sistema pertenecen al mismo grupo, pongamos que se llama "dpto". ¿Cómo puedo denegar el acceso a "dpto" sin tener que hacerlo de usuario en usuario?
Con usuarios individuales sé hacerlo, basta con poner un asterisco en el segundo campo del usuario en cuestión en el fichero /etc/passwd. O bien usando usermod -L usuario que inserta un signo de exclamación de cierre al principio de la línea del usuario en el fichero /etc/shadow.
Gracias.
------------------------------------------------------------------------------- Si tienes una manzana y yo tengo otra y las intercambiamos, entonces ambos tendremos una manzana. Pero si tu tienes una idea y yo tengo otra y las intercambiamos, entonces ambos tendremos dos ideas. George Bernard Shaw --------------------------------------------------------------------------------
msjr escribió:
¿Cómo puedo denegar el acceso a "dpto" sin tener que hacerlo de usuario en usuario?
Supongo que tienes instalado PAM y sus amiguetes, y si no los instalas :-P (pista: libpam-modules). Prueba a poner en /etc/security/access.conf:
-:dpto:ALL
poner un asterisco en el segundo campo del usuario en cuestión en el fichero /etc/passwd. O bien usando usermod -L
Pues ya que estamos, también "passwd -l" :-)
Lo que quieres es que no puedan entrar de forma temporal, ¿no? ¿O que no lo hagan nunca? O dicho de otra forma: ¿ese grupo por qué no debe poder entrar?
Taluego"Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí." (Confucio)...-
Gracias Alfabet por tu respuesta, tus indicaciones me han ayudado mucho. Te cuento cómo lo he hecho. Comprobé que tenía instalado el libpam_modules y luego he probado a poner en access.conf como tú decias:
-:dpto:ALL
pero nada...
Tras leer la documentación de PAM, en guiri claro, no me quedaba nada claro aunque creo que era por motivos de cansancio.
Esta mañana, sábado, con tu ayuda y mi perseverancia he dado con la solución.
Hay que tocar dos ficheros: /etc/security/access.conf y /etc/pam.d/login. En access.conf hay que hacer lo que tú dices. Pero, para que funcione hay que ir a /etc/pam.d/login y donde pone:
# Uncomment and edit /etc/security/access.conf if you need to
# set access limits.
# (Replaces /etc/login.access file)
account required pam_access.so
descomentar la última línea para que lea access.conf. Una vez hecho esto retoco /etc/security/access.conf y añado
-:dpto:ALL
¡y por fin deniego el acceso al grupo dpto!
Gracias por tu ayuda.
------------------------------------------------------------------------------- Si tienes una manzana y yo tengo otra y las intercambiamos, entonces ambos tendremos una manzana. Pero si tu tienes una idea y yo tengo otra y las intercambiamos, entonces ambos tendremos dos ideas. George Bernard Shaw -------------------------------------------------------------------------------
-
-
msjr
Iniciado Ancestral
Envíos: 47