Tengo la necesidad de configurar el acceso SSH para una cuenta de servicio de AD en una flota de Mac. No puedo convertir la cuenta en una cuenta local como la contraseña para los ciclos de la cuenta de servicio a menudo. El objetivo final es permitir que todas las cuentas en un grupo de seguridad de AD restringido ssh accedan a nuestras Mac, pero me gustaría comenzar con una sola cuenta de AD.
¿Alguna idea? ¡Gracias!
Dentro de las Preferencias del sistema - > Compartiendo, la opción de inicio de sesión remoto debe tener un lugar para "Solo estos usuarios".
Si ha unido correctamente la máquina al dominio (buena suerte), debería poder seleccionar el grupo desde el signo "+".
Punto tomado a través de GUI para grupos de seguridad de AD, pero en el caso de que también tenga una cuenta de administrador local común en cada Mac, y oculte el usuario mediante UID < 500, la GUI no ve tales cuentas, por lo tanto, no puede agregar las cuentas a la restricción ssh.
Ese es el punto central de la ocultación a través de un UID inferior: ocultar las cuentas de la GUI. Es posible que pueda agregar cuentas de administrador local a la restricción ssh ANTES de ejecutar el comando a continuación ...
sudo defaults write /Library/Preferences/com.apple.loginwindow Hide500Users -bool YES
... luego ejecute el comando anterior después de excluir / confirmar a través de GUI?
Bastante seguro de que el método dscl le permite excluir la cuenta, independientemente de que oculte a 500 usuarios, pero no puede confirmarlo mediante la GUI; sólo a través de CLI.
Nuevamente, funciona según lo diseñado, pero puede que no sea obvio de un vistazo.
Lea otras preguntas en las etiquetas macos ssh active-directory