Я провел некоторые исследования по теме, но не могу найти прямого ответа на свой вопрос. Пожалуйста, скажите мне, правильно ли я понимаю.
Kerberos можно использовать в качестве моста между ОС Linux/Unix и Windows AD. Политики (например, пользователь/группа 'A' имеет доступ к ресурсам 'X' и 'Y', но не 'Z') можно задать в AD, и Kerberos применяет эти политики. Таким образом, сервер RHEL может иметь учетные записи пользователей без паролей (т. е. заблокированные учетные записи), но эти пользователи все равно могут аутентифицироваться на сервере, если Kerberos, управляемый политикой AD, говорит, что у них должен быть доступ.
Меня беспокоит, что учетной записи Linux без пароля в файле shadow может быть предоставлен доступ, если она является членом домена AD, но больше не должна иметь доступа к серверу Linux. В несвязанной организации я привязал iMac к AD, и любой член домена может получить доступ к iMac.
решение1
Если я правильно понял ваш вопрос, то ответ — нет. Linux может использовать AD через Kerberos + LDAP и SSSD или различные другие методы для получения данных для входа в учетную запись и аутентификации учетной записи.
Linux не получает никаких политик из коробки. Политики или авторизация устанавливаются в системе, в которой вы проходите аутентификацию. Так что если вы получаете доступ к общему файлу Windows, вы устанавливаете разрешения на этом сервере Windows. Если вы получаете доступ к общему файлу Linux, вы устанавливаете разрешения на этом сервере Linux...
Linux не считывает атрибут AD «разрешить вход в систему», вместо этого вам придется использовать PAM или другие настройки Linux, чтобы указать, кто может входить в систему.