SSH登入相關設定

截至目前為止設定，離正式工作站作業仍有一段距離，本章節整理正式多人工作站會需要之設定，請依照各自需求調整。

預設為login shell為sh，使用起來不甚方便，若有需要變更預設shell，請編輯ldap.conf

~$ sudo vim /etc/ldap.conf

加入下行至最底下

nss_override_attribute_value loginShell /bin/bash

此設定將LDAP使用者登入之預設login shell變更為bash，請依照各自需求調整。

限制LDAP一般使用者透過SSH登入

編輯/etc/pam.d/sshd設定檔

~$ sudo vim /etc/pam.d/sshd

取消下行註解：

account required /lib/security/pam_access.so

若要限制來自於tty console的登入，則要到/etc/pam.d/login取消：

pam_access.so

的註解。除非使用者能隨便碰到tty console，不然這邊不建議開啟針對tty console的登入限制，以閉免因錯誤設定倒致權限使用者無法登入。

編輯/etc/security/access.conf

~$ sudo vim /etc/security/access.conf
+ : LDAP-USER1 : ALL
+ : LDAP-USER2 : ALL
- : ALL : ALL

開頭使用"+"來允許登入；"-"則是拒絕，因限制規則是像防火牆照順序apply下去，請務必將- : ALL : ALL擺到最後一行。

P.S. 記住在取消pam_access.so 註解後才會生效