我们的大多数计算机都在 Active Directory 域环境中运行 Windows。我们有一个 Linux 机器,它通过 SMB 共享将数据推送到 Windows 机器。Linux 机器设置为使用域用户安装该共享。显然,这意味着用户名和密码存储在 Linux 机器上(以明文形式,我认为是在脚本中)。
如果有人以某种方式窃取了该密码,我不希望他们能够在域上执行任何其他操作,例如登录计算机或访问“域用户”有权访问的共享。
有什么方法可以设置域登录,以便它基本上没有权限,除非明确授予权限(例如写入特定共享)。
答案1
没有理由需要将任何密码存储在任何地方,更不用说以纯文本形式存储了。如果 Linux 机器通过 Active Directory 域使用 Kerberos,mount.cifs 可以使用 sec=krb5 挂载远程共享,除了最初登录所需的密码外,不需要任何密码。
至于不授予域登录权限,我无论如何也不会帮你。如果你想成为 BOFH,你就得靠自己了。:)