J’aimerais restreindre certains utilisateurs AD à un script spécifique, limitant ce qu’ils peuvent faire sur cette machine particulière.
Ainsi, au lieu de se connecter avec un shell interactif, ils seraient limités à un script personnalisé.
Une façon d’atteindre cet objectif est de déclarer plusieurs domaines, restreignant les premiers aux seuls membres d’un groupe donné.
[sssd]
config_file_version = 2
domains = restricted.example.com, example.com
services = nss, pam
[domain/restricted.example.com]
id_provider = ad
access_provider = ad
ad_domain = example.com
override_shell = /usr/local/bin/restricted-script
ad_access_filter = memberOf=CN=RestrictedGroup,OU=Groups,DC=example,DC=com
[domain/example.com]
id_provider = ad
access_provider = ad