この件について少し調べてみましたが、質問に対する明確な答えが見つかりません。私の理解が正しいかどうか教えてください。
Kerberos は、Linux/Unix OS と Windows AD 間のブリッジとして使用できます。ポリシー (例: ユーザー/グループ 'A' はリソース 'X' と 'Y' にアクセスできますが、'Z' にはアクセスできません) を AD で設定し、Kerberos でこれらのポリシーを適用できます。そのため、RHEL サーバーにはパスワードのないユーザー アカウント (ロックされたアカウント) を設定できますが、AD ポリシーによって指示された Kerberos でアクセス権が付与されている場合、これらのユーザーはサーバーに認証できます。
私の懸念は、シャドウ ファイルにパスワードがない Linux アカウントは、AD ドメインのメンバーであればアクセスを許可されるが、Linux サーバーにはアクセスできないのではないかということです。関係のない組織で、iMac を AD にバインドしており、ドメインのメンバーであれば誰でも iMac にアクセスできます。
答え1
ご質問の意味が理解できれば、答えは「いいえ」です。Linux は、Kerberos + LDAP および SSSD またはその他のさまざまな方法を介して AD を使用して、アカウントのログイン詳細とアカウント認証を取得できます。
Linux は、そのままではポリシーを取得しません。ポリシーまたは承認は、認証するシステムで設定されます。したがって、Windows ファイル共有にアクセスする場合は、その Windows サーバーでアクセス許可を設定します。Linux ファイル共有にアクセスする場合は、その Linux サーバーでアクセス許可を設定します...
Linux は AD の「ログオンを許可する属性」を読み取りません。代わりに、誰がログインできるかを指定するには、PAM またはその他の Linux 設定を使用する必要があります。