granicus.if.org Git - linux-pam/blob - modules/pam_access/access.conf

   1 # Login access control table.
   2 #
   3 # When someone logs in, the table is scanned for the first entry that
   4 # matches the (user, host) combination, or, in case of non-networked
   5 # logins, the first entry that matches the (user, tty) combination.  The
   6 # permissions field of that table entry determines whether the login will
   7 # be accepted or refused.
   8 #
   9 # Format of the login access control table is three fields separated by a
  10 # ":" character:
  11 #
  12 # [Note, if you supply a 'fieldsep=|' argument to the pam_access.so
  13 # module, you can change the field separation character to be
  14 # '|'. This is useful for configurations where you are trying to use
  15 # pam_access with X applications that provide PAM_TTY values that are
  16 # the display variable like "host:0".]
  17 #
  18 #       permission : users : origins
  19 #
  20 # The first field should be a "+" (access granted) or "-" (access denied)
  21 # character.
  22 #
  23 # The second field should be a list of one or more login names, group
  24 # names, or ALL (always matches). A pattern of the form user@host is
  25 # matched when the login name matches the "user" part, and when the
  26 # "host" part matches the local machine name.
  27 #
  28 # The third field should be a list of one or more tty names (for
  29 # non-networked logins), host names, domain names (begin with "."), host
  30 # addresses, internet network numbers (end with "."), ALL (always
  31 # matches) or LOCAL (matches any string that does not contain a "."
  32 # character).
  33 #
  34 # If you run NIS you can use @netgroupname in host or user patterns; this
  35 # even works for @usergroup@@hostgroup patterns. Weird.
  36 #
  37 # The EXCEPT operator makes it possible to write very compact rules.
  38 #
  39 # The group file is searched only when a name does not match that of the
  40 # logged-in user. Both the user's primary group is matched, as well as
  41 # groups in which users are explicitly listed.
  42 #
  43 ##############################################################################
  44 #
  45 # Disallow console logins to all but a few accounts.
  46 #
  47 #-:ALL EXCEPT wheel shutdown sync:LOCAL
  48 #
  49 # Disallow non-local logins to privileged accounts (group wheel).
  50 #
  51 #-:wheel:ALL EXCEPT LOCAL .win.tue.nl
  52 #
  53 # Some accounts are not allowed to login from anywhere:
  54 #
  55 #-:wsbscaro wsbsecr wsbspac wsbsym wscosor wstaiwde:ALL
  56 #
  57 # All other accounts are allowed to login from anywhere.
  58 #