我对这个主题进行了一些研究,但找不到问题的直接答案。请告诉我我的理解是否正确。
Kerberos 可用作 Linux/Unix 操作系统与 Windows AD 之间的桥梁。可以在 AD 中设置策略(例如,用户/组“A”可以访问资源“X”和“Y”,但不能访问“Z”),并且 Kerberos 会强制执行这些策略。因此,RHEL 服务器可以拥有没有密码的用户帐户(即锁定帐户),但如果 AD 策略指示的 Kerberos 表示他们应该具有访问权限,则这些用户仍然可以向服务器进行身份验证。
我担心的是,如果 Linux 帐户是 AD 域的成员,影子文件中没有密码,则可以授予其访问权限,但不再有权访问 Linux 服务器。在一个不相关的组织中,我已将 iMac 绑定到 AD,域中的任何成员都可以访问 iMac。
答案1
如果我理解你的问题,答案是否定的。Linux 可以通过 Kerberos + LDAP 和 SSSD 或其他各种方法使用 AD 来获取帐户登录详细信息和帐户身份验证。
Linux 不会立即获得任何策略。策略或授权是在您要进行身份验证的系统中设置的。因此,如果您正在访问 Windows 文件共享,则您可以在该 Windows 服务器上设置权限。如果您正在访问 Linux 文件共享,则您可以在该 Linux 服务器上设置权限...
Linux 不会读取 AD“允许登录属性”,而是需要使用 PAM 或其他 Linux 设置来说明谁可以登录。