He investigado un poco sobre el tema, pero no puedo encontrar una respuesta directa a mi pregunta. Por favor dígame si mi comprensión es correcta.
Kerberos se puede utilizar como puente entre un sistema operativo Linux/Unix y Windows AD. Las políticas (por ejemplo, el usuario/grupo 'A' tiene acceso a los recursos 'X' e 'Y' pero no a 'Z') se pueden establecer en AD y Kerberos aplica estas políticas. Por lo tanto, un servidor RHEL puede tener cuentas de usuario sin contraseñas (es decir, cuentas bloqueadas), pero estos usuarios aún pueden autenticarse en el servidor si Kerberos dirigido por la política de AD dice que deberían tener acceso.
Mi preocupación es que a una cuenta de Linux sin una contraseña en el archivo oculto se le puede otorgar acceso si es miembro del dominio AD, pero ya no debería tener acceso al servidor Linux. En una organización no relacionada, vinculé un iMac a un AD y cualquier miembro del dominio puede acceder al iMac.
Respuesta1
Si entiendo tu pregunta, la respuesta es no. Linux puede usar AD a través de Kerberos + LDAP y SSSD o varios otros métodos para obtener detalles de inicio de sesión y autenticación de cuenta.
Linux no tiene ninguna política de fábrica. Las políticas o autorizaciones se establecen en el sistema en el que se está autenticando. Entonces, si accede a un archivo compartido de Windows, establece los permisos en ese servidor de Windows. Si está accediendo a un archivo compartido de Linux, establece permisos en ese servidor Linux...
Linux no lee el AD "permitir iniciar sesión en el atributo", en lugar de eso, necesitaría usar PAM u otras configuraciones de Linux para decir quién puede iniciar sesión.