17.5. SSSD
17.5.1. Los GPO de AD ahora se aplican por defecto
En RHEL 8, la configuración por defecto de la opción ad_gpo_access_control
es enforcing
, lo que garantiza que se evalúen y apliquen las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.
En cambio, el valor por defecto de esta opción en RHEL 7 es permissive
, que evalúa pero no aplica las reglas de control de acceso basadas en GPO. Con el modo permissive
, se registra un mensaje de syslog cada vez que un usuario vería denegado su acceso por un GPO, pero esos usuarios siguen teniendo permiso para iniciar sesión.
Red Hat recomienda asegurarse de que los GPO están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8.
Los GPO mal configurados que no afectan a la autorización en los hosts RHEL 7 por defecto pueden afectar a los hosts RHEL 8 por defecto.
Para obtener más información sobre los GPO, consulte Aplicación del control de acceso de objetos de política de grupo en RHEL y la entrada ad_gpo_access_control
en la página del manual sssd-ad
.