我已经做了一些关于这个话题的研究,但是我不能直接回答我的问题。 请告诉我,如果我的理解是正确的。
Kerberos可以用作Linux / Unix操作系统和Windows AD之间的桥梁。 可以在AD中设置策略(例如,用户/组“A”可以访问资源“X”和“Y”,但不能是“Z”),Kerberos会强制执行这些策略。 因此,RHEL服务器可以拥有没有密码的用户帐户(即locking帐户),但是如果AD策略指导的Kerberos说他们应该有权访问,那么这些用户仍然可以对服务器进行身份validation。
我担心的是,如果影子文件中没有密码的Linux帐户是AD域的成员,则可以被授予访问权限,但不能再访问Linux服务器。 在一个不相关的组织中,我已经绑定了一个iMac到AD,并且该域的任何成员都可以访问iMac。
如果我理解你的问题,答案是否定的。 Linux可以通过Kerberos + LDAP和SSSD或其他各种方法使用AD来获取帐户login信息和帐户authentication。
Linux并没有提供任何策略。 策略或授权在您正在进行身份validation的系统中设置。 因此,如果您正在访问Windows文件共享,则可以在该Windows服务器上设置权限。 如果您正在访问Linux文件共享,则在该Linux服务器上设置权限…
Linux不读取AD“允许login到属性”,而是需要使用PAM或其他Linux设置来说明谁可以login。