Kerberos, Active Directory e servidores Linux / Unix

Navegue suas respostas
1

Eu fiz algumas pesquisas sobre o assunto, mas não consigo encontrar uma resposta direta para a minha pergunta. Por favor, diga-me se meu entendimento está correto.

O Kerberos pode ser usado como a ponte entre um sistema operacional Linux / Unix e o Windows AD. Políticas (por exemplo, usuário / grupo 'A' tem acesso aos recursos 'X' e 'Y', mas não 'Z') podem ser definidas no AD e o Kerberos aplica essas políticas. Portanto, um servidor RHEL pode ter contas de usuário sem senhas (ou seja, contas bloqueadas), mas esses usuários ainda podem se autenticar no servidor se o Kerberos direcionado pela diretiva do AD informar que eles devem ter acesso.

Minha preocupação é que uma conta do Linux sem uma senha no arquivo shadow possa receber acesso se eles forem membros do domínio do AD, mas não precisarem mais ter acesso ao servidor Linux. Em uma organização não relacionada, liguei um iMac a um AD e qualquer membro do domínio pode acessar o iMac.

    
por Andrew 27.02.2015 / 18:01

1 resposta

0

Se eu entendi sua pergunta, a resposta é não. O Linux pode usar o AD via Kerberos + LDAP e SSSD ou vários outros métodos para obter detalhes de login da conta e autenticação da conta.

O Linux não consegue, fora da caixa, obter políticas. Políticas ou autorização são definidas no sistema contra o qual você está autenticando. Portanto, se você estiver acessando um compartilhamento de arquivos do Windows, defina as permissões nesse servidor Windows. Se você está acessando um compartilhamento de arquivos Linux, você define permissões nesse servidor Linux ...

O Linux não lê o AD "allow log on to attribute", em vez disso você precisaria usar o PAM ou outras configurações do Linux para dizer quem pode fazer o login.

    
por 05.03.2015 / 21:01

Tags

encaminhamento de porta de alta disponibilidade em mswindows Um backup incremental de SQL funcionará para os meus propósitos?