pam实验的问题

shfeng1

网络实验中有一个pam验证的题是在/etc/security/access.conf中加入
-:用户名: ttyx
然后在/etc/pam.d/system-auth中加入account  required .........access.so
我做完后并没遇到问题, 但在看access.conf的说明中有一项是可以将主机的IP地址写入后对主机访问进行控制. 我就在access.conf中加入了以下行
-:michael:192.168.1.253(我自己的主机ip) 但并没有限制michael用户登录
我以为可能是限制其他机器的登录, 于是将ip改为另一台机器的ip地址
-:michael:192.168.1.252 但在另一台机器登录时还是没有限制啊!
请问这是怎么一回事?谢谢

wwdjs

我是这么理解的，如果你要禁用某一个组的用户在本机上登录
-：组名：ALL  即可
这样可以限制一个组的用户在本机都不能登录，其它的机器上
好像可以上用NIS登录

wwdjs

本机为 192.168.0.1 把本机的access.conf
改成 -：beyond：ALL EXCEPT 192.168.0.3 后
我可以在 192.168.0.3的主机上 用ssh beyond@192.168.0.1 登录

shfeng1

不是啊! 如果是本机为 192.168.1.253 把本机的access.conf
改成 -：michael：ALL EXCEPT 192.168.1.252 后
我可以在 192.168.1.252的主机上 用ssh michael@192.168.1.253 登录但并没有限制其它机器的登录啊! 如果改成 +：michael：ALL EXCEPT 192.168.1.252
意思应该是允许michael在从所有机器到本机上登录除了192.168.1.252对吧?
可michael还是能登录上253的机器啊!.

kissingwolf

何必用pam，那东西时常出错！
tcp_wrapper + sshd_config就够了！
ip,用户都可以控制！