已成功将我的 Linux Box 加入 Windows AD 域。想从其他管理员那里了解是否可以指定哪些 Windows AD 组可以登录?否则任何拥有 AD 帐户的人都可以登录。有什么建议吗?
答案1
我最近在我的雇主那里完成了一个 Linux/AD 集成项目。我尝试了 Likewise,但并不欣赏它在 Active Directory 中对 LDAP 树造成的完全混乱。无论如何,我最终选择了使用 mit-kerberos、ldap 和 pam_ldap 的“自制”路线 - 我们再高兴不过了。我使用AllowGroupssshd_config 中的指令来限制哪些 AD 组能够向服务器进行身份验证。到目前为止,这对我们来说效果很好。
答案2
我衷心推荐 Likewise-Open 用于此类事情(http://www.beyondtrust.com/Products/PowerBroker-Identity-Services-Open-Edition/),因为它们使得指定能够登录的组等变得非常简单。
单单是它的简单性和节省时间就值得一试。我专门构建了一个 AD 基础架构来根据 AD 对 Linux 用户进行身份验证,并且我使用此工具进行配置。我不是付费的托儿,我只是对它的体验非常好,以至于我无法充分谈论它。
答案3
转到 AD 中计算机对象所在的位置,右键单击并选择“属性”。在“安全”选项卡下,您可以指定谁有权访问该机器以及他们在机器上的权限。