Windows AD 域上的 Linux

成功將我的 Linux Box 加入到 Windows AD 域。想從其他管理員那裡知道我們是否可以指定允許 Windows 廣告中的哪些組登錄？否則任何擁有 AD 帳戶的人都可以登錄。建議？

我最近在我的雇主處完成了一個 Linux/AD 集成項目。我嘗試了同樣的方法，但不欣賞它在 Active Directory 中的 LDAP 樹造成的完全混亂。無論如何，我最終選擇了 mit-kerberos、ldap 和 pam_ldap 的“自製”路線——我們再高興不過了。我使用AllowGroupssshd_config 中的指令來限制哪些 AD 組能夠向伺服器進行身份驗證。到目前為止，這對我們來說效果很好。

我衷心推薦類似開放的此類事情（http://www.beyondtrust.com/Products/PowerBroker-Identity-Services-Open-Edition/），因為它們使指定能夠登錄的組變得非常簡單，等等。

僅簡單性和節省時間就值得一試。我專門建構了一個 AD 基礎架構來針對 AD 對 Linux 使用者進行身份驗證，並使用此工具進行配置。我不是一個付錢的騙子，我只是有一個很好的經驗，我不能談論它。

引用自：https://serverfault.com/questions/140381