Ich habe zu diesem Thema recherchiert, kann aber keine eindeutige Antwort auf meine Frage finden. Bitte sagen Sie mir, ob ich das richtig verstanden habe.
Kerberos kann als Brücke zwischen einem Linux/Unix-Betriebssystem und dem Windows AD verwendet werden. Richtlinien (z. B. Benutzer/Gruppe „A“ hat Zugriff auf die Ressourcen „X“ und „Y“, aber nicht auf „Z“) können in AD festgelegt werden und Kerberos erzwingt diese Richtlinien. Ein RHEL-Server kann also Benutzerkonten ohne Kennwörter haben (d. h. gesperrte Konten), aber diese Benutzer können sich trotzdem beim Server authentifizieren, wenn Kerberos gemäß AD-Richtlinien besagt, dass sie Zugriff haben sollten.
Meine Sorge ist, dass einem Linux-Konto ohne Passwort in der Schattendatei zwar Zugriff gewährt werden kann, wenn es Mitglied der AD-Domäne ist, aber keinen Zugriff mehr auf den Linux-Server haben sollte. In einer nicht verwandten Organisation habe ich einen iMac an ein AD gebunden und jedes Mitglied der Domäne kann auf den iMac zugreifen.
Antwort1
Wenn ich Ihre Frage richtig verstehe, lautet die Antwort nein. Linux kann AD über Kerberos + LDAP und SSSD oder verschiedene andere Methoden verwenden, um Kontoanmeldedaten und Kontoauthentifizierung abzurufen.
Linux erhält standardmäßig keine Richtlinien. Richtlinien oder Autorisierungen werden in dem System festgelegt, bei dem Sie sich authentifizieren. Wenn Sie also auf eine Windows-Dateifreigabe zugreifen, legen Sie die Berechtigungen auf diesem Windows-Server fest. Wenn Sie auf eine Linux-Dateifreigabe zugreifen, legen Sie die Berechtigungen auf diesem Linux-Server fest...
Linux liest das AD-Attribut „Anmeldung zulassen“ nicht. Stattdessen müssen Sie PAM oder andere Linux-Einstellungen verwenden, um anzugeben, wer sich anmelden darf.