AD 사용자에게 네트워크 공유를 제공하는 Samba 도메인 서버가 있습니다. 모든 사용자는 이 서버에서 일반 Linux 사용자로 생성되므로 셸 액세스 권한이 부여됩니다. 대다수 사용자의 쉘 액세스를 제거해야 하며 /etc/passwd의 기본 쉘을 /bin/bash에서 /sbin/nologin 또는 /bin/false로 변경하는 것을 고려하고 있지만 이는 액세스 기능에 영향을 미칠 것입니다. 서버에서 공유하시겠습니까?
답변1
/sbin/nologin아니요, 사용자에게 셸과 같은 셸을 제공하거나 /bin/false삼바 공유에 액세스하는 것을 막지는 않습니다. 실제로 이것은 원하는 작업을 수행하는 매우 일반적이고 일반적인 방법입니다.
그러나 복잡한 그룹 멤버십이 중요한 경우 대부분의(모두는 아니지만) Samba 사용자의 경우 로컬 사용자나 그룹을 사용하지 않고 AD에 의존하는 것이 더 좋습니다. AD는 중첩된 그룹 멤버십을 지원합니다(예: 그룹은 다른 그룹의 구성원). Unix 조직에서는 이를 수행하지 않으며 수행할 수도 없습니다.
(저는 AD 서버에서 특정 교사의 사용자 및 그룹 이름을 추출하고 이를 위한 로컬 계정 및 그룹을 생성하기 위해 Perl 스크립트를 작성해야 했기 때문에 이를 알고 있습니다. 왜냐하면 제가 근무했던 대학에서는 AD의 유닉스를 원하지 않았기 때문입니다. 확장 프로그램은 중앙 IT 관리 AD 서버에 설치됨)