我已经对该主题进行了一些研究,但我无法找到我的问题的直接答案。请告诉我我的理解是否正确。
Kerberos 可以用作 Linux/Unix 操作系统和 Windows AD 之间的桥梁。可以在 AD 中设置策略(例如,用户/组“A”可以访问资源“X”和“Y”但不能访问“Z”),并且 Kerberos 会强制执行这些策略。因此,RHEL 服务器可以拥有没有密码的用户帐户(即锁定帐户),但如果 AD 策略指示的 Kerberos 表明他们应该有权访问,这些用户仍然可以向服务器进行身份验证。
我担心的是,如果影子文件中没有密码的 Linux 帐户是 AD 域的成员,则可以被授予访问权限,但不应再有权访问 Linux 服务器。在一个不相关的组织中,我已将 iMac 绑定到 AD,并且该域的任何成员都可以访问 iMac。
如果我理解你的问题,答案是否定的。Linux 可以通过 Kerberos + LDAP 和 SSSD 或其他各种方法使用 AD 来获取帐户登录详细信息和帐户身份验证。
Linux 没有开箱即用的任何策略。在您进行身份验证的系统中设置了策略或授权。因此,如果您正在访问 Windows 文件共享,您可以在该 Windows 服务器上设置权限。如果您正在访问 Linux 文件共享,则在该 Linux 服务器上设置权限...
Linux 不会读取 AD“允许登录属性”,而是需要使用 PAM 或其他 Linux 设置来说明谁可以登录。