AVISO!

Esta dica, se mal executada, pode fazer com que não seja mais possível logar no sistema da maneira convencional. Então, cuidado! Aconselho o uso de uma máquina virtual para fazer os testes.

Para esse feito, usaremos um módulo do PAM chamado pam_listfile, que permite realizar muitas coisas, então, para mais detalhes:

man pam_listfile

Se você precisar permitir ou negar autenticação(login) de usuários pertencentes a determinados grupos, siga os seguintes passos:

1. Crie um arquivo, digamos /etc/login.group.allowed ou /etc/login.group.denied, contendo uma lista de todos os grupos que deseja permitir/negar autenticação (um por linha), exemplo:

/etc/login.groups.allowed:


2. Edite o arquivo /etc/pam.d/common-auth, para quem usa Debian/Ubuntu, ou /etc/pam.d/system-auth para outras distros, e acrescente no INÍCIO do arquivo o seguinte, caso queira permitir o login:


Ou, para negar:


E pronto. No exemplo, somente os usuários pertencentes ao grupo bruno podem se autenticar no sistema. Isso é útil caso você tenha uma política de restrição de logins no seu ambiente de trabalho.

Até a próxima!