Red Hat Summit3.4. Aplicación del control de acceso a los objetos de la directiva de grupo en RHEL
Un Group Policy Object (GPO) es una colección de configuraciones de control de acceso almacenadas en Microsoft Active Directory (AD) que pueden aplicarse a equipos y usuarios en un entorno AD. Al especificar los GPO en AD, los administradores pueden definir las políticas de inicio de sesión que honran tanto los clientes de Windows como los hosts de Red Hat Enterprise Linux (RHEL) unidos a AD.
Las siguientes secciones describen cómo puede administrar los GPO en su entorno:
- Sección 3.4.1, “Cómo interpreta SSSD las reglas de control de acceso de GPO”
- Sección 3.4.2, “Lista de configuraciones de GPO que admite SSSD”
- Sección 3.4.3, “Lista de opciones de SSSD para controlar la aplicación de GPO”
- Sección 3.4.4, “Cambiar el modo de control de acceso de GPO”
- Sección 3.4.5, “Creación y configuración de un GPO para un host RHEL en la GUI de AD”
3.4.1. Cómo interpreta SSSD las reglas de control de acceso de GPO
Por defecto, SSSD recupera los objetos de política de grupo (GPO) de los controladores de dominio de Active Directory (AD) y los evalúa para determinar si un usuario puede iniciar sesión en un determinado host RHEL unido a AD.
SSSD mapea AD Windows Logon Rights a los nombres de servicio del Módulo de Autenticación Conectable (PAM) para imponer esos permisos en un entorno GNU/Linux.
Como administrador de AD, puede limitar el alcance de las reglas de GPO a usuarios, grupos o hosts específicos mediante una lista en security filter.
3.4.1.1. Limitaciones del filtrado por hosts
Las versiones más antiguas de SSSD no evalúan los hosts en los filtros de seguridad de AD GPO.
- RHEL 8.3.0 and newer: SSSD admite usuarios, grupos y hosts en los filtros de seguridad.
-
RHEL versions older than 8.3.0: SSSD ignora las entradas de host y sólo admite usuarios y grupos en los filtros de seguridad.
Para garantizar que SSSD aplique el control de acceso basado en GPO a un host específico, cree una nueva unidad organizativa (OU) en el dominio de AD, mueva el sistema a la nueva OU y, a continuación, vincule el GPO a esta OU.
3.4.1.2. Limitaciones del filtrado por grupos
SSSD actualmente no es compatible con los grupos incorporados de Active Directory, como Administrators con Security Identifier (SID) S-1-5-32-544. Red Hat recomienda no utilizar los grupos integrados de AD en los GPOs de AD dirigidos a los hosts RHEL.
Recursos adicionales
- Para obtener una lista de las opciones de GPO de Windows y sus correspondientes opciones de SSSD, consulte Lista de opciones de GPO que admite SSSD.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}