CentOS+samba+ActiveDirectory環境でアクセス制限をかける

備忘録。 Wjndows2008のActiveDirectory配下に、CentOS + sambaを使ってドメイン参加し、認証の一元化を行っている環境で、AD上のすべてのユーザーがアクセスできてしまわないように制限ををかける。

 方法1./etc/security/pam_winbind.confで制御

・
・
[global]
require_membership_of=xxx,yyy,zzz
・
・

方法2./etc/pam.d/system-authで制御

・
・
[global]
 account   required        pam_winbind.so  use_first_pass require_membership_of=xxx,yyy,zzz
・
・

いずれにしても、ポイントは
・カンマ区切りで並べるという点
・xxx,yyy,zzzは、名称でもSIDでもOK
というところ。

(2014/11/24)方法2だとsuやsudoの時には有効なのですが、sshでログインするときに有効にならない（ログインできてしまう）。方法１打と効いた。