Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

sssd : existe-t-il un moyen de forcer un shell spécifique pour certains membres d'un groupe ?

ayi

<h2><a name="p-33459-le-contexte-1" class="anchor" href="#p-33459-le-contexte-1" aria-label="Heading link"></a>Le contexte</h2>
<p>J’aimerais restreindre certains utilisateurs AD à un script spécifique, limitant ce qu’ils peuvent faire sur cette machine particulière.</p>
<p>Ainsi, au lieu de se connecter avec un shell interactif, ils seraient limités à un script personnalisé.</p>

ayi_2

<p>Une façon d’atteindre cet objectif est de déclarer plusieurs domaines, restreignant les premiers aux seuls membres d’un groupe donné.</p>
<pre><code class="lang-auto">[sssd]
config_file_version = 2
domains = restricted.example.com, example.com
services = nss, pam

[domain/restricted.example.com]
id_provider = ad
access_provider = ad
ad_domain = example.com
override_shell = /usr/local/bin/restricted-script
ad_access_filter = memberOf=CN=RestrictedGroup,OU=Groups,DC=example,DC=com

[domain/example.com]
id_provider = ad
access_provider = ad
</code></pre>