您可以按位置对用户属性进行限定。usermod(1M) 和 rolemod(1M) 命令新增了一个限定符选项,可以指定用户属性所应用到的主机或网络组。缺省情况下,与指定的用户或角色匹配的本地条目具有最高优先级。如果不存在本地条目,则会启动一个 LDAP 查询,该查询将返回其主机名与当前主机匹配的条目,或返回与用户的某一个网络组匹配的第一个条目。否则,将使用未限定的用户属性。
可以使用 useradd(1M) 命令的新关键字 access_times 为对 PAM 服务访问指定新的基于时间的策略。可以使用此关键字指定每个用户可以进行特定 PAM 服务验证的日期和时间。例如,可以将 SSH 使用限制在工作日上午。