Разрешить удалённый доступ по SSH только
Администраторам домена:
# control sshd-allow-groups enabled
# control sshd-allow-groups-list remote
Группа remote включает пользователей, которым разрешён доступ по SSH.
При необходимости можно включить аутентификацию с использованием Kerberos-билетов:
# control sshd-gssapi-auth enabled
Аутентификация с использованием Kerberos-билетов позволяет пользователям входить по SSH без ввода пароля, если у них уже есть действующий Kerberos-билет (например, после входа в домен).
Доменная учётная запись Administrator при использовании winbind получает локальный идентификатор (UID) = 0 (на контроллере домена это стандартное и неизменяемое поведение), что соответствует пользователю root в Linux. По умолчанию прямой вход по SSH под этой учётной записью запрещён из соображений безопасности.
Это поведение можно изменить, разрешив аутентификацию пользователю root:
# control sshd-permit-root-login enabled
Это снижает безопасность системы. Прямой доступ под root не рекомендуется в целях безопасности.
Для применения настроек необходимо перезапустить службу SSH:
# systemctl restart sshd
