ADユーザーにネットワーク共有を提供するSambaドメインサーバーがあります。すべてのユーザーはこのサーバー上で一般的なLinuxユーザーとして作成されるため、シェルアクセス権が付与されます。ほとんどのユーザーのシェルアクセスを削除する必要があり、/etc/passwdのデフォルトシェルを/bin/bashから/sbin/nologinまたは/bin/falseに変更することを検討していますが、これはアクセス機能に影響します。サーバーで共有しますか?
答え1
/sbin/nologin
いいえ、ユーザーにシェルなどのシェルを提供したり、Samba共有/bin/false
にアクセスしたりするのを防ぎません。実際には、これは望ましいタスクを実行する非常に一般的で一般的な方法です。
ただし、複雑なグループメンバーシップが重要な場合は、ほとんど(すべてではありません)Sambaユーザーの場合は、ローカルユーザーやグループを使用せずにADに依存する方が良いです。 ADはネストされたグループメンバーシップをサポートします(たとえば、グループは他のグループのメンバー)。 Unix組織ではこれを実行せず、実行することもできません。
(私はADサーバーから特定の教師のユーザーとグループ名を抽出し、そのためにローカルアカウントとグループを作成するためにPerlスクリプトを作成する必要があるため、これを知っています。 . 拡張機能は中央IT管理ADサーバーにインストールされます。