成功将我的Linux Boxjoin到Windows AD域。 想要知道从其他pipe理员,如果我们有可能指定哪些组窗口允许login? 否则,任何有AD帐户的人都可以login。 build议?
我最近在雇主那里完成了Linux / AD集成项目。 我试过了,但是并没有意识到它是由Active Directory中的LDAP树完成的。 无论如何,我最终要用mit-kerberos,ldap和pam_ldap去“自制”路线 – 我们不能更快乐。 我在我的sshd_config中使用AllowGroups指令来限制哪些AD组能够向服务器进行身份validation。 到目前为止,这对我们来说工作得非常好。
我衷心地推荐这种类似的东西( http://www.beyondtrust.com/Products/PowerBroker-Identity-Services-Open-Edition/ ),因为它使得它很简单,以指定能够login的组等等。
简单和节省时间本身是值得检查的。 我构build了一个AD基础结构,专门用于对AD用户进行身份validation,并使用此工具进行configuration。 我不是一个有钱的人,我只是有这样一个很好的经验,我不能谈论得够多。
转到计算机对象在AD中的位置,然后右键单击并select“属性”。 在安全选项卡下,您可以指定谁有权访问机器上的权限。