我對這個主題做了一些研究,但我無法找到我的問題的直接答案。請告訴我我的理解是否正確。
Kerberos 可以用作 Linux/Unix 作業系統和 Windows AD 之間的橋樑。可以在 AD 中設定策略(例如,使用者/群組“A”可以存取資源“X”和“Y”,但不能存取“Z”),並且 Kerberos 會強制執行這些策略。因此,RHEL 伺服器可以擁有沒有密碼的使用者帳戶(即鎖定的帳戶),但如果 AD 原則指示的 Kerberos 指示他們應該具有存取權限,這些使用者仍然可以向伺服器進行身份驗證。
我擔心的是,如果影子檔案中沒有密碼的 Linux 帳戶是 AD 網域的成員,則可以被授予存取權限,但不再有權存取 Linux 伺服器。在一個不相關的組織中,我將 iMac 綁定到 AD,網域中的任何成員都可以存取 iMac。
答案1
如果我理解你的問題,答案是否定的。 Linux 可以透過 Kerberos + LDAP 和 SSSD 或各種其他方法使用 AD 來取得帳戶登入詳細資訊和帳戶驗證。
Linux 沒有立即獲得任何策略。策略或授權是在您進行身份驗證的系統中設定的。因此,如果您要存取 Windows 檔案共用,則需要在該 Windows 伺服器上設定權限。如果您正在存取 Linux 檔案共享,則可以在該 Linux 伺服器上設定權限...
Linux 不會讀取 AD“允許登入屬性”,而是需要使用 PAM 或其他 Linux 設定來說明誰可以登入。