Fiz algumas pesquisas sobre o assunto, mas não consigo encontrar uma resposta direta para minha pergunta. Por favor, diga-me se meu entendimento está correto.
Kerberos pode ser usado como ponte entre um sistema operacional Linux/Unix e o Windows AD. Políticas (por exemplo, o usuário/grupo 'A' tem acesso aos recursos 'X' e 'Y', mas não 'Z') podem ser definidas no AD e o Kerberos impõe essas políticas. Portanto, um servidor RHEL pode ter contas de usuário sem senhas (ou seja, contas bloqueadas), mas esses usuários ainda podem se autenticar no servidor se o Kerberos direcionado pela política do AD disser que eles deveriam ter acesso.
Minha preocupação é que uma conta Linux sem senha no arquivo shadow possa receber acesso se for membro do domínio AD, mas não deverá mais ter acesso ao servidor Linux. Em uma organização não relacionada, vinculei um iMac a um AD e qualquer membro do domínio pode acessar o iMac.
Responder1
Se entendi sua pergunta, a resposta é não. O Linux pode usar AD via Kerberos + LDAP e SSSD ou vários outros métodos para obter detalhes de login e autenticação da conta.
O Linux não recebe nenhuma política imediatamente. As políticas ou autorizações são definidas no sistema no qual você está autenticando. Portanto, se você estiver acessando um compartilhamento de arquivos do Windows, defina as permissões nesse servidor Windows. Se você estiver acessando um compartilhamento de arquivos Linux, defina permissões nesse servidor Linux...
O Linux não lê o AD "permitir logon no atributo"; em vez disso, você precisaria usar o PAM ou outras configurações do Linux para dizer quem pode fazer login.