나는 이 주제에 대해 몇 가지 조사를 해봤지만 내 질문에 대한 직접적인 대답을 찾을 수 없습니다. 제가 이해한 것이 맞는지 알려주세요.
Kerberos는 Linux/Unix OS와 Windows AD 간의 브리지로 사용될 수 있습니다. 정책(예: 사용자/그룹 'A'는 'X' 및 'Y' 리소스에 액세스할 수 있지만 'Z'에는 액세스할 수 없음)을 AD에서 설정할 수 있으며 Kerberos는 이러한 정책을 시행합니다. 따라서 RHEL 서버는 비밀번호가 없는 사용자 계정(예: 잠긴 계정)을 가질 수 있지만 AD 정책에 따라 Kerberos가 액세스 권한을 부여해야 한다고 지시하는 경우 이러한 사용자는 여전히 서버에 인증할 수 있습니다.
제가 우려하는 점은 섀도우 파일에 비밀번호가 없는 Linux 계정이 AD 도메인의 구성원인 경우 액세스 권한을 부여받을 수 있지만 더 이상 Linux 서버에 액세스할 수 없다는 것입니다. 관련 없는 조직에서 iMac을 AD에 바인딩했으며 도메인의 모든 구성원이 iMac에 액세스할 수 있습니다.
답변1
귀하의 질문을 이해한다면 대답은 '아니오'입니다. Linux는 Kerberos + LDAP 및 SSSD 또는 기타 다양한 방법을 통해 AD를 사용하여 계정 로그인 세부 정보 및 계정 인증을 얻을 수 있습니다.
Linux는 기본적으로 어떤 정책도 얻지 않습니다. 인증 대상 시스템에 정책이나 승인이 설정되어 있습니다. 따라서 Windows 파일 공유에 액세스하는 경우 해당 Windows 서버에 대한 권한을 설정합니다. Linux 파일 공유에 액세스하는 경우 해당 Linux 서버에 대한 권한을 설정합니다.
Linux는 AD "특성에 대한 로그온 허용"을 읽지 않습니다. 대신 PAM 또는 기타 Linux 설정을 사용하여 누가 로그인할 수 있는지 알려야 합니다.